Анна Кузнецова, Lamoda: Когда годовой план не работает: зачем аудитору гибкость и как её достичь

Rolling и Agile-планирование во внутреннем аудите: зачем это нужно и как это работает

Понятия rolling (скользящее планирование, регулярное обновление плана с добавлением нового периода и корректировкой приоритетов) и Agile-планирования (использование принципов гибкой методологии: короткие циклы, быстрая обратная связь, адаптация к изменениям, вовлеченность стейкхолдеров) стали особенно популярны после 2020 года, когда мир столкнулся с пандемией COVID-19. Тогда стало очевидно: традиционные годовые планы больше не работают. Все заранее составленные стратегии и графики перестали работать. И в этот момент в деловую среду уверенно вошел Agile, который означает гибкость, способность быстро адаптироваться, менять курс и подстраиваться под изменяющиеся условия. Возможно, в крупных корпорациях классическое планирование по-прежнему используется, но для таких динамичных сфер, как e-commerce, оно уже неэффективно. Изменения происходят стремительно, и аудитору приходится оперативно реагировать, чтобы оставаться полезным для бизнеса.

С точки зрения внутреннего аудита, гибкое планирование – это возможность оперативно адаптировать аудиторский план в течение года. Это реакция на изменения как внутри компании, так и во внешней среде: новые риски, изменившиеся приоритеты, стратегические вызовы или неожиданные события.

Сравнить два подхода достаточно просто. При гибком планировании вы постоянно просматриваете текущий план: добавляете новые задачи, переносите или заменяете уже запланированные активности. Это возможно благодаря регулярному мониторингу рисков и постоянной коммуникации с ключевыми заинтересованными сторонами – бизнесом, администрацией, акционерами. Именно эти элементы и являются отличительными чертами Agile-подхода.

Преимуществ у Agile-подхода немало:

Приоритезация рисков в реальном времени

Процесс приоритизации рисков в нашей компании – это постоянная, динамичная работа, происходящая в реальном времени. Мы не рассматриваем риски как нечто, что можно актуализировать раз в год. Это ежедневная практика, тесно интегрированная с бизнесом.

Первый и ключевой шаг – это переход к непрерывному мониторингу рисков. Больше не работает модель, при которой риски оцениваются по заранее утвержденному годовому плану. Сегодня от внутреннего аудита ожидается не просто выполнение стандартных процедур, а превентивное реагирование и активное участие в бизнес-процессах.

Важно отметить, что в Lamoda функции внутреннего аудита, внутреннего контроля и управления рисками объединены в один департамент. Это позволяет действовать слаженно: рисками занимается не только аудитор, но и выделенный риск-менеджер.

Кроме того, мы внимательно отслеживаем ключевые метрики бизнеса: продажи, возвраты, оборотный капитал и др. На основе этих данных мы можем оперативно оценивать направление движения компании и вносить необходимые коррективы. Такой подход позволяет пересматривать планы в режиме реального времени.

Следующий важный аспект – интеграция с системами бизнес-аналитики, в частности Power BI и озером данных. Мы используем как существующие дашборды, так и создаем собственные панели мониторинга, ориентированные на потребности аудита и риск-менеджмента. Помимо анализа текущих данных, мы также применяем моделирование и прогнозирование. Используя исторические данные и выявленные тренды, мы можем строить сценарии развития и своевременно сигнализировать, если видим потенциальные угрозы для бизнеса.

Например, если показатели начинают отклоняться от нормы, система автоматически формирует алерт, основанный на заранее установленном риск-аппетите. Таким образом, риск-менеджеру не нужно вручную пересчитывать параметры – всё происходит автоматически, по заданным правилам.

Кроме того, у нас сформирован набор критически важных рисков, за которыми мы следим особенно внимательно. Один из самых приоритетных – риск пожара на складе. Его расчет включает множество параметров: объем продаж, структура товарных запасов, стоимость стока, требования страховщиков и прочее. Ранее эти расчеты требовали ручной работы и занимали много времени. Сейчас они автоматизированы: аналитик настраивает отчет, и система сама рассчитывает риск в зависимости от текущих данных, отправляя уведомление при превышении допустимых значений.

Мы постоянно обновляем и получаем информацию. Риски меняются не только по цифрам – часто их выявление происходит через неформальные каналы:

Роль риск-менеджера в этом процессе очень активная – он не сидит за столом, а постоянно взаимодействует с людьми и следит за изменениями в отрасли. Благодаря такому подходу мы вовремя получаем информацию, которую не всегда можно выявить через BI-системы.

Гибкость методологии стандартов в условиях гибкого планирования

Гибкость методологии стандартов – важный элемент эффективного и адаптивного аудита. Да, у нас есть установленные стандарты, которые задают рамки нашей деятельности. Ключевая задача – уметь гибко применять процедуры и подходы, не теряя качества и соблюдения методологических требований.

Основой гибкого планирования является риск-ориентированный подход. Он позволяет направлять ресурсы туда, где потенциально находятся реальные угрозы, а не равномерно распределять усилия по всем направлениям.

В классическом подходе мы проверяли заранее определенные области, независимо от их актуальности и уровня риска. В риск-ориентированном подходе фокусируемся на тех зонах, где риск действительно высок, и можем, наоборот, отказаться от глубокого анализа там, где годами не возникает отклонений или нарушений.

Например, в рамках анализа непрямых закупок мы могли бы проверить весь процесс равномерно. Но, если появляется сигнал, что один из сотрудников закупочной службы потенциально причастен к мошенничеству, логично сфокусироваться на его активности и контрагентах, а не на всей выборке.

Гибкость обеспечивается за счет модульного построения аудиторских программ. Каждый процесс разбивается на логические блоки, которые можно адаптировать прямо в ходе аудита.

При проверке HR-процессов мы структурируем программу по этапам: найм → адаптация → выплаты → бонусы → увольнение. Но в процессе может открыться новая область риска, которая изначально не попадала в скоуп – например, выплаты по договорам ГПХ, которые формально не относятся к HR, но фактически являются частью фонда оплаты труда. В таких случаях мы добавляем новые блоки, расширяем глубину проверки, а также убираем или сокращаем менее значимые элементы.

Все изменения вносятся обоснованно и документируются. Это нужно для того, чтобы к аудитору не возникало вопросов по итогам проверки – почему финальный скоуп отличается от первоначального.

Третий момент в гибкой методологии стандартов – оперативное изменение глубины и формата процедур. Гибкость проявляется и в выборе процедур в зависимости от уровня риска.

Если риск высокий – применяются более глубокие процедуры: выборка, подтверждающие документы, детальный анализ. Если риск минимален – можно ограничиться высокоуровневым интервью, аналитикой или обзором процессов.

Таким образом, вес и глубина процедур адаптируются под реальную ситуацию, а не под шаблонные сценарии.

Вовлечение стейкхолдеров

Вовлечение стейкхолдеров – один из ключевых элементов гибкого планирования. Без четкого понимания, кто заинтересован в нашей работе, каковы их ожидания и где находятся настоящие приоритеты бизнеса, любые планы могут превратиться в теоретическое упражнение без практической ценности.

Даже если мы видим множество рисков и возможностей, без поддержки и запроса со стороны бизнес-заказчиков наши действия теряют смысл. Именно поэтому постоянное и осознанное взаимодействие с ключевыми участниками – основа эффективности аудита и риск-менеджмента в гибкой модели.

Мы выстраиваем неформальные и формальные каналы общения со стейкхолдерами на всех уровнях, обеспечивая себе регулярную коммуникацию и обратную связь:

В результате каждый понимает, чем занимается аудит, и зачем это нужно бизнесу.

Еще один важный элемент – согласование приоритетов аудита с приоритетами бизнеса. Ранее мы проводили ежегодные опросы, обсуждая с управляющими директорами их стратегические цели. Сейчас этот процесс стал более оперативным и адаптивным: после каждого квартала мы уточняем вектор движения, а также приоритеты и «болевые точки». Это не значит, что аудит превращается в работу «по запросу». Это значит, что мы учитываем бизнес-контекст и интегрируем реальные потребности стейкхолдеров в процесс риск-оценки и планирования.

План аудита остается независимым, но при этом максимально релевантным и обоснованным.

Финальный, но не менее важный аспект, – это вовлечение команды в процесс проведения аудита и обсуждение результатов. Все наши выводы, рекомендации и предложения мы обсуждаем с участниками процесса – не только на уровне руководителей, но и с исполнителями. Мы открыто говорим: «Вот что мы нашли, вот как это оформим, вот предложенные действия и сроки. Кто будет ответственным?». Обсуждение идет снизу вверх, что позволяет участникам высказать свое мнение, озвучить возражения и предложить альтернативные решения.

Благодаря этому люди чувствуют ценность своего вклада. Рекомендации воспринимаются не как «отчет для галочки», а как реальный план действий. Кроме того, значительно повышается вероятность, что меры будут реализованы в срок и в согласованном формате.

Эффективное гибкое планирование невозможно без активного и осмысленного вовлечения стейкхолдеров. Это не только повышает качество планирования, но и:

Технологии для адаптивности

Использование BI-систем – это мощный инструмент, который действительно помогает отслеживать процессы в режиме реального времени и делает процесс планирования более прозрачным. Когда решения принимаются на основе объективных данных, которые сложно оспорить, это значительно снижает риски отказа от гибкого подхода к планированию.

Автоматизация аудита и мониторинга – это те технологии, которые позволяют освободить ресурсы: и временные, и человеческие. Постоянный мониторинг, или continuous auditing, – то, к чему мы стремимся. Да, реализовать это не всегда просто, но мы уже внедрили такие решения для базовых, рутинных процессов. Например, автоматические проверки условий платежей, чтобы избежать дублирования, или сверка контрактных условий в рамках тендеров – по суммам, срокам и прочим параметрам. На эти задачи теперь не тратится время вручную: система присылает отчет с выявленными нарушениями или их отсутствием. Это позволяет исключать процессы из ежегодного тестирования и переводить их в постоянный мониторинг.

Что касается платформ для совместной работы и коммуникации, ситуация после 2022 года изменилась. Мы перешли на платформу «Пачка», параллельно идет переход на «Яндекс Мессенджер». При запуске каждого нового проекта мы создаем общий коммуникационный канал для всех участников. В нем идет обсуждение, обмен информацией, публикация отчетов и выявленных проблем. Это способствует прозрачности: все участники процесса видят, что происходит, могут отследить историю изменений, версии документов и пр. Это упрощает работу, убирает неясности и исключает принятие решений «за закрытыми дверями».

Искусство говорить «да, но не сейчас»

Недавно я участвовала в круглом столе с внутренними аудиторами. До выступления получила задачу от совета директоров – нетипичную, казалось, такие вопросы вообще раньше никто не аудировал. Я решила воспользоваться моментом и спросить у коллег, принявших участие в событии, как это аудировать. Один из спикеров мне ответил: «Вы как золотая рыбка: на всё соглашаетесь. Научитесь говорить “нет”».

И в этом высказывании была рациональная мысль. Мы действительно перегружены запросами, а ресурсов постоянно не хватает. В таких условиях навык грамотно говорить: «Да, но не сейчас» – становится важным. Это позволяет не отказывать в помощи, но при этом уважительно управлять ожиданиями и сохранять фокус на приоритетах.

Можно выделить три основных принципа, которые помогают применять этот подход:

1. Аргументация, прозрачность и приоритизация

У нас всегда есть ключевые риски, стратегические фокусы и утвержденный квартальный план, согласованный с советом директоров. Поэтому, когда кто-то приходит с новым запросом – «а давайте еще посмотрим вот это» – я прошу аргументированно объяснить, почему это важнее текущих задач – показать риски, цифры, возможные последствия. Если это действительно критично – мы перестроим приоритеты. Если нет – я предлагаю альтернативы:

Такой подход позволяет не говорить «нет» напрямую и управлять ожиданиями без ущерба для текущих задач.

2. Документирование решений

Все запросы, которые откладываются, переносятся или временно исключаются из плана, фиксируются документально. Это важно, поскольку никто не будет забыт, повышается прозрачность, а также укрепляется доверие к внутренним аудиторам.

Такой подход особенно ценен, потому что желающих много, и без документации легко что-то упустить.

3. Планирование ресурсов и сроков

Этот навык пока дается сложнее всего. Хочется охватить всё, но ресурсов на всех не хватает.

Например, у меня есть список из 10 запланированных задач, в который члены совета директоров просят добавить еще одну, и генеральный директор приносит дополнительный запрос. В результате что-то неизбежно оказывается за бортом.

Поэтому я стараюсь четко фиксировать текущий план, реалистично оценивать загрузку, и если переношу задачу – то сознательно, с уведомлением и обещанием вернуться позже.

Навык говорить: «Да, но не сейчас» – это не про отказ. Это про осознанное управление приоритетами, уважение к коллегам и сохранение стратегического фокуса.

Анна Кузнецова, директор по внутреннему контролю, аудиту и управлению рисками, Lamoda