Татьяна Макарова, «КЕХ еКоммерц» (Авито): Сквозная трансформация, или как мы связали аудит, риски и контроль в одну автоматизированную систему

Мне хотелось бы поделиться своим опытом модификации функции внутреннего аудита и контроля. И речь не о построении с нуля, а о серьезной трансформации. Я сосредоточусь на четырех ключевых аспектах: создании новой организационной структуры, управлении персоналом, определении целей и разработке плана работ, а также на создании политик, процедур и переходе к автоматизации.

Для начала немного о себе. Я аудитор с 23-летним стажем, карьеру начинала в «Большой четверке». В 2012 году присоединилась к «Яндексу», где прошла путь от специалиста до директора по внутреннему аудиту и участвовала в построении СВК (SOX) для листинга на NASDAQ. С октября 2023 года – директор по внутреннему аудиту и управлению рисками в Авито. Руковожу тремя направлениями: аудит, риски и контроль. К переменам меня побудил вызов – возможность создать что-то свое почти с нуля.

Трансформация структуры

В Авито функция рисков и контроля существовала давно, но была представлена небольшой командой из семи человек с плоской структурой, подчинявшейся руководителю отдела в составе дирекции по закупкам.

Риски такой модели очевидны: потенциальная потеря независимости и конфликт интересов, возможное недоверие сотрудников и внешних заинтересованных сторон. Сфера задач была узкой – мелкие аудиты и описание процессов без комплексного подхода.

С моим приходом функция была переподчинена напрямую генеральному директору. В Авито два СЕО: один отвечает за технологии, другой – за поддержку бизнеса. Мы подчиняемся второму. Мы трансформировали отдел в департамент, выделив три направления: управление рисками, внутренний контроль (комплаенс) и внутренний аудит.

Изначально комплаенс был в управлении рисками (первая линия защиты), но мы перенесли его во внутренний контроль. Для компании, не котирующейся на бирже, такое объединение под одним руководителем и подчинение генеральному директору – жизнеспособная модель, что подтверждается исследованием ИВА (Институт внутренних аудиторов) и ТеДо («Технологии Доверия») за 2023 год: 89% российских компаний подотчетны президенту или генеральному директору. Преимущества новой структуры – высокая независимость, прямой доступ к руководству, эффективная координация решений и оперативная реакция на нарушения.

Жизнь не стоит на месте: весной 2024 года Авито получила лицензию ЦБ на оператора финансовой платформы. Это направление регулируется ФЗ-211, и в мой департамент функционально вошли риски и для этой платформы.

Формирование и развитие команды

Сформировать команду с нуля – это всегда особая задача. Моя команда сегодня – это 15 человек, включая меня. Четырнадцать сотрудников мы нашли на рынке, а одного – внутри компании. Он был сильным аналитиком, и мы успешно переучили его на аудитора, чем очень гордимся.

Поскольку команда была совершенно новой, а люди пришли из разных бизнесов и индустрий, нам было критически важно не только «притереться» друг к другу, но и сразу задать правильные векторы развития. Мы сделали ставку на работу с большими объемами данных, что естественно для IT-компании с ее множеством систем.

Наша цель – активно внедрять передовые технологии, чтобы повышать уровень уверенности (assurance) в результатах нашей работы. Параллельно мы развиваем как профессиональные, так и гибкие (soft) навыки.

Мы много общаемся с рынком: организуем и сами ходим на референс-визиты, обмениваемся опытом с коллегами. Внутри мы практикуем кросс-функциональные проекты, объединяя специалистов по контролю, рискам и аудиту. Это помогает команде сплачиваться, а заодно и решает мою «шкурную» задачу – создает здоровую взаимозаменяемость на случай изменений в команде.

Понимая, что плоская структура может ограничивать видимость карьерных перспектив, мы совместно с HR прописали ролевые модели. Это помогает коллегам видеть траекторию своего роста и развития – как в горизонтальной, так и в вертикальной плоскости.

Подбор такой команды оказался непростой задачей. Мы сознательно сузили круг поиска до кандидатов с опытом в IT, а таких на рынке не так много. Кроме того, нам были нужны люди с особыми навыками – способные договариваться и выстраивать партнерские отношения, что не всегда характерно для специалистов из более «жестких» индустрий вроде производства или банков. Наконец, мы искали тех, кто горит желанием использовать новые технологии, а не просто работать по готовым гайдам.

В своем подходе к найму я всегда опираюсь на референсы от коллег по рынку – если на кандидата нет положительных отзывов, я отношусь к нему с осторожностью. Также я активно привлекаю к собеседованиям представителей смежных функций – информационной безопасности, финансов. Это помогает получить более объемную картину. И, конечно, я старалась позиционировать новую структуру не как зону риска, а как территорию новых возможностей и вызовов, что помогало мотивировать людей присоединиться к нам.

Первый план работ мы формировали на основе статей финансовой отчетности, так как рисковой карты не было. Старались учитывать ограничения по ресурсам в период найма. Определили получателей отчетности – СЕО и представителя акционера с квартальной периодичностью. Связали цели и метрики эффективности с индивидуальными картами сотрудников. Проводили стратегические сессии для выравнивания ожиданий команды, пришедшей из разных индустрий.

Внутренняя документация и автоматизация

Начали с Политики внутреннего аудита, чтобы закрепить подотчетность. Затем разработали единую политику по системе управления рисками и внутреннего контроля (СУР и ВК), которая стала «зонтиком» и для регуляторных требований финансовой платформы, обеспечив единые подходы без противоречий.

Я всегда выступала за то, чтобы аудит, риски и контроль работали в одной системе. Карта рисков должна быть актуальной, формировать основу для описания контролей и для аудиторского плана. Наблюдения из аудитов, в свою очередь, должны возвращаться в карту рисков.

Мы преуспели: у нас есть единый провайдер (Security Vision Provider от GlowByte), который мы сильно кастомизировали. В системе уже работают модули внутреннего контроля и аудита, активно развиваем модуль рисков, что обеспечивает сквозной процесс и историчность данных. Также мы стремимся к автоматизированной отчетности «по клику», чтобы избежать рутины и огромных презентаций.

В своей работе мы активно используем искусственный интеллект, что дает значительную экономию времени при работе с неструктурированными данными. Пишем макросы, скрипты, код, где это необходимо. Есть поддержка руководства. Также прорабатываем внедрение process mining для анализа процессов – это сложно, но мы верим в успех.

В зрелых средах, где менеджеры осознанно подходят к работе и понимают влияние своих решений на смежные функции, централизованная функция риск-менеджмента может не быть необходимой. Как показали примеры «Яндекса» и Ozon, риски могут управляться децентрализовано самими владельцами процессов.

Мой подход как руководителя – быть не «рисковиком» с формальными картами топ-10 рисков, а партнером для бизнеса. Важно не тормозить инициативы, а в момент запуска новых продуктов или фич аккуратно подсказывать, при необходимости привлекая нужных экспертов (юристов, финансистов, специалистов СБ). Вторая важная роль – быть методологом, который помогает собрать большую картину.

Вопрос цикличности аудита для нас пока решается в формате коротких циклов. На первом этапе мы фокусируемся на том, чтобы взять аудиты на год и обеспечить их последующий follow-up в следующем году. Наша главная задача сейчас – не набрать как можно больше проверок, а качественно закрыть уже выявленные рекомендации. Таким образом, наш цикл составляет примерно год.

Если говорить о бизнес-процессах, то мы пока отталкиваемся от статей отчетности – выручка, закупки, зарплаты, – что в текущем моменте охватывает около 15 процессов. В будущем планируем двигаться в сторону более гранулярного анализа.

Трансформация – это всегда вызов, но именно он позволяет создавать эффективные и современные функции, действительно добавляющие ценность бизнесу.

Татьяна Макарова, директор по внутреннему аудиту и управлению рисками, «КЕХ еКоммерц» (Авито)