Кирилл Ковалев, «Лемана ПРО»: Бесшовное взаимодействие – как выстроить зрелую модель внутреннего контроля в крупном ритейле

В данной статье я бы хотел поделиться опытом построения зрелой модели взаимодействия внутреннего контроля с другими подразделениями компании «Лемана ПРО». Надеюсь, наш практический подход окажется полезным и вдохновит вас на новые идеи.

Компания «Лемана ПРО» – компания-ритейлер, специализирующаяся на продаже товаров для строительства, отделки и обустройства дома, дачи и сада. У нас 112 магазинов, 19 логистических комплексов, около 45 тысяч сотрудников.

Для управления рисками мы используем GRC¹-систему Security Vision. В нашей матрице рисков и контролей более 1200 контролей, 200 из которых – ключевые, которые покрывают высокие риски. Рейтинг присущего риска (высокий, средний, низкий) мы определяем как произведение вероятности и влияния, каждые из которых оцениваем по трёхбалльной шкале.

В «Лемана ПРО» мы через систему GRC регулярно отправляем исполнителям контролей задания на прохождение самооценки. В ходе самооценки исполнители подтверждают актуальность контролей, загружают результаты выполненных контролей, а мы отслеживаем полученные ответы и валидируем их корректность. Из полученных ответов BI-система формирует отчёты об остаточных рисках в разрезе подразделений и процессов. Пользоваться отчетами могут все сотрудники компании, включая руководителей подразделений и членов аудиторского комитета.

Взаимодействие с внутренним аудитом

Внутренний аудит перед началом каждой проверки проводит вводную встречу с бизнесом, а мы присутствуем на ней, чтобы быть в курсе обсуждаемых вопросов. Далее мы встречаемся отдельно с внутренними аудиторами, обсуждаем внутренние контроли, находящиеся в системе GRC, изучаем предыдущие ответы исполнителей по выполненным контролям и эффективность их дизайна.

В ходе проверки внутренние аудиторы изучают процессы, тестируют контроли как из GRC, так и контроли, описанные во время аудита, делают вывод об их операционной эффективности и делятся с нами результатами аудита.

На второй встрече аудиторы демонстрируют нам выявленные недостатки в процессах и системе внутреннего контроля, предлагают варианты планов действий и новых контролей, закрывающих риски.

На третьей встрече, проводимой внутренним аудитом с бизнесом, обсуждается черновик отчёта. Мы обсуждаем недостатки и контроли, предлагаемые аудитом к внедрению, изучаем выполнимость планов действий и получаем подтверждение от бизнеса, что предлагаемые решения будут выполнены, в том числе, при помощи создания новых недостающих контролей.

Если мы полностью согласны с предложениями аудита, то вносим изменения в существующие контроли или добавляем новые контроли в систему GRC. Оценка риска бывает субъективна, но мы изучаем процессы, обсуждаем их с бизнесом и определяем, насколько предлагаемые контроли закрывают ключевые риски процесса.

Аудиторы работают по циклу вселенной аудита, оптимизируя количество и частоту проверок с точки зрения текущих рисков. Обычно проверки по крупным бизнес-процессам повторяются через несколько лет, также проводятся повторные аудиты (follow-up audit). В GRC работаем мы (внутренний контроль), внутренний аудит, комплаенс и ИТ-безопасность. Система постоянно дорабатывается под нужды пользователей, а для удобства всей компании настроены BI-отчеты, в которых можно выгрузить присущие и остаточные риски, контроли, их рейтинг и прочее.

Наша работа в области комплаенс: проверено на прочность

В нашей компании выстроена сильная и работоспособная система комплаенс. Её эффективность недавно подтвердили независимые эксперты: аудиторская компания Kept дала высокую оценку нашим антикоррупционным мерам.

Работу по управлению комплаенс-рисками мы постоянно совершенствуем. Сейчас управление комплаенс переходит от ведения матрицы коррупционных рисков в Excel к более современным решениям, чтобы сделать процесс удобнее. При этом каждый комплаенс-риск закрывается конкретным внутренним контролем из системы GRC.

Особый приоритет – борьба с коррупцией: по этому направлению мы внедрили расширенный набор ключевых контролей.

Первая и вторая линии защиты комплаенс

Мы, как внутренний контроль, сами регулярно тестируем ключевые контроли, закрывающие высокие риски – это частично пересекается с зоной интересов внутреннего аудита, но мы делаем это осознанно, чтобы убедиться в операционной эффективности контролей и не ждать очередной проверки от аудита.

В карте антикоррупционных рисков комплаенс выделяет бухгалтерские антикоррупционные контроли и этические контроли (декларирование подарков, конфликт интересов). Контроли первой линии выполняет бизнес, а контроли второй линии – комплаенс и внутренний контроль. Также мы широко используем систему сдержек и противовесов, когда сотрудники перепроверяют или ставят под разумное сомнение действия друг друга.

Взаимодействие внутреннего контроля с магазинами и РЦ

В каждом магазине и складском комплексе есть менеджер по административным и бухгалтерским вопросам (МАБВ), который осуществляет внутренний контроль по своему объекту и каждый месяц загружает в GRC результаты, прикладывая соответствующие файлы.

Наши магазины географически разделены на регионы, и у каждого региона есть куратор из числа МАБВ, который проверяет 9–10 объектов не из своего региона (чтобы избежать конфликта интересов). Эти кураторы – «амбассадоры внутреннего контроля» – также имеют кураторский доступ в GRC и там проводят ежемесячные проверки, валидируя результаты своих подопечных. Мы анализируем результаты в BI-отчётах и при необходимости принимаем меры. Периодически мы проводим рабочие группы с кураторами, чтобы обсудить, как улучшить контроли, уменьшить или увеличить их количество.

Технологии и IT-безопасность

В компании более 450 активных IT-продуктов: приложений и программ, как собственной разработки, так и сторонних подрядчиков. Коллеги из ИТ создали систему оценки каждого продукта по матрице зрелости (бронза, серебро, золото, платина) по 11 категориям.

В каждой категории – по 10–20 вопросов.

За каждой категорией закреплён центр компетенций из числа сотрудников ИТ, которые досконально разбираются в своем направлении. Руководители продуктов заполняют самооценку по своему продукту, а центры компетенций проверяют её и дают рекомендации по совершенствованию процессов.

Внутренние контроли в новых процессах

Мы стараемся успеть внедрить внутренние контроли до старта новых процессов в компании. Для этого мы совместно с руководителями описываем новый бизнес-процесс, определяем необходимость и точки контролей, прописываем принципы работы, находим исполнителей контролей и передаем им эти контроли на выполнение. Бывает так, что в компаниях бизнес готов к финансированию улучшений и внедрению контролей только после сбоев или штрафов, а наша задача – помочь делать это проактивно и превентивно, предвосхищая негативные сценарии. В этом и заключается работа второй линии защиты.

Таким образом, при построении эффективной модели взаимодействия внутреннего контроля с различными подразделениями компании, важен не только комплексный подход, но и индивидуальный, учитывающий особенности подразделения, задач и выполняемых функций. Эта практика позволяет эффективно управлять рисками, своевременно «снимать показания» текущего состояния процессов и контролей и поддерживать высокое качество работы всей компании.

Кирилл Ковалев, руководитель по внутреннему контролю компании «Лемана ПРО»