Анна Кузнецова, Lamoda: «Начинайте трансформацию внутреннего контроля не с масштабных программ на два года, а с быстрых и хорошо заметных шагов»

Анна Кузнецова, директор по внутреннему контролю, аудиту и управлению рисками, Lamoda, и спикер Пятнадцатой конференции «Внутренний контроль и внутренний аудит как инструменты повышения эффективности бизнеса», рассказала CFO Russia, по каким конкретным признакам компания может понять, что ее текущая система внутреннего контроля больше не работает или тормозит бизнес, а также объяснила, как начать трансформацию внутреннего контроля в компании, чтобы получить эффект уже в краткосрочной перспективе.

Почему классическая модель внутреннего контроля перестала работать в современном бизнесе – в чем ее главное ограничение сегодня?

На мой взгляд, классическая модель внутреннего контроля не то чтобы полностью «перестала работать», но в современном бизнесе она перестала давать ощутимую ценность. Ее ключевая проблема – в концептуальном разрыве с реальностью бизнеса.

Исторически внутренний контроль во второй линии защиты выполнял в основном детективную функцию: периодически тестировал контроли – раз в квартал или раз в год – и фиксировал их неэффективность постфактум. В результате информация о проблемах часто появляется слишком поздно, когда бизнес-решения уже приняты, а риски реализовались. Это превращает контроль в констатацию, а не в инструмент управления.

Второе важное ограничение – статичность. Классическая модель опирается на фиксированные матрицы рисков и контролей и периодические проверки, тогда как современный бизнес, особенно в e-commerce и digital-среде, меняется практически непрерывно. Появляются новые продукты, процессы, каналы, а система контроля просто не успевает за этими изменениями – ни с точки зрения обновления матрицы, ни с точки зрения частоты мониторинга.

Еще одна проблема – оторванность от стратегии. В классическом подходе внутренний контроль существует как параллельная функция, а не как элемент, встроенный в ДНК компании и связанный со стратегическими приоритетами. В результате он часто фокусируется на формальном соблюдении требований – в том числе регуляторных – но не на реальных бизнес-рисках.

И, наконец, то, что мы слышали и от руководства, и от совета директоров: классическая модель все чаще воспринимается как «check-the-box exercise». Контроли вроде бы проверены, отчеты подготовлены, но реальной пользы для бизнеса это не приносит.

Именно совокупность этих ограничений – запоздалость, статичность, отрыв от стратегии и формальность – и привела к тому, что классический подход перестал быть устойчивым. Это и стало причиной пересмотра всей системы внутренних контролей и поиска более гибкой, встроенной и ориентированной на бизнес-результат модели.

По каким конкретным признакам компания может понять, что ее текущая система внутреннего контроля больше не работает или тормозит бизнес?

Понять, что система внутреннего контроля больше не работает или начинает тормозить бизнес, можно по нескольким достаточно понятным признакам.

Первый и, пожалуй, самый показательный – это отсутствие измеримой пользы для бизнеса. Сегодня от любой функции ожидают не просто формального исполнения обязанностей, а конкретного, оцифрованного результата. Если у подразделения внутреннего контроля нет KPI, которые можно напрямую связать с финансовым эффектом, снижением рисков или предотвращенными потерями, это тревожный сигнал. Когда результаты проверок не отвечают на простой вопрос бизнеса – «какую пользу вы нам принесли?» – значит система перестает быть востребованной.

Второй признак – разрыв между отчетами и реальной ситуацией в компании. Формально контроли могут тестироваться, отчеты – регулярно готовиться, а процессы при этом продолжают «сыпаться»: нарушения повторяются, возникают одни и те же инциденты, всплывают проблемы, которые, казалось бы, уже должны были быть закрыты. У управленческой команды в этот момент закономерно возникает вопрос: если функция контроля существует, почему риски все равно реализуются?

Третий важный индикатор – параллельное существование функции и бизнеса. Когда внутренний контроль живет собственной жизнью, не встроен в операционные процессы и не участвует в принятии управленческих решений, он начинает восприниматься как формальный атрибут, а не как полезный инструмент. В таком формате контроль перестает помогать и начинает тормозить – за счет избыточных процедур, отчетности и проверок ради самих проверок.

И в итоге все это сводится к одному выводу: если эффективность функции невозможно доказать ни цифрами, ни снижением количества проблем в процессах, значит текущая модель внутреннего контроля себя исчерпала. В таком виде она становится скорее атавизмом, чем поддержкой для бизнеса, и требует пересмотра.

С чего вы бы рекомендовали начать трансформацию внутреннего контроля в компании, чтобы получить эффект уже в краткосрочной перспективе?

Трансформацию внутреннего контроля я бы рекомендовала начинать не с масштабных программ на два года, а с быстрых и хорошо заметных шагов – так называемых quick wins. Именно они позволяют показать ценность функции уже в краткосрочной перспективе и создают доверие стейкхолдеров к дальнейшим изменениям.

В качестве отправной точки стоит выбирать процессы с несколькими ключевыми характеристиками. Во-первых, они должны быть хорошо видимы внутри организации – чтобы эффект от изменений был сразу заметен. Во-вторых, это должны быть действительно проблемные зоны: не обязательно самые материальные с точки зрения потерь, но те, где регулярно возникают авралы, ошибки, задержки или нарушения. И, в-третьих, важно, чтобы масштаб был управляемым – небольшой участок процесса, который можно быстро улучшить, не вовлекая десятки людей и не перестраивая всю систему.

Мы начали с самых «болезненных» мест, о которых бизнес сам регулярно сигнализировал – через аудит, инциденты и обращения со стороны бэк-функций. Вместо очередного постфактум-тестирования мы стали разбираться в первопричинах: где именно возникают узкие места и почему нарушения повторяются. После этого меняли сам процесс и переходили от периодического контроля к постоянному, практически онлайн-мониторингу.

Ключевым элементом здесь стал встроенный контроль – embedded control. Это подход, при котором контроль не живет отдельно и не срабатывает раз в месяц или квартал, а становится частью повседневной работы. Исполнители процессов не ждут формальной проверки, а сразу вовлекают внутренний контроль, как только видят, что что-то идет не так. Это позволяет оперативно корректировать ситуацию на месте и предотвращать нарушения, а не фиксировать их задним числом.

Именно такой формат – быстрые, точечные изменения и переход к встроенному, превентивному контролю – дает максимальный эффект в краткосрочной перспективе и становится фундаментом для дальнейшей трансформации всей системы.

Задать свои вопросы Анне и узнать больше об опыте Lamoda вы сможете на Пятнадцатой конференции «Внутренний контроль и внутренний аудит как инструменты повышения эффективности бизнеса», которая состоится 20 февраля 2026 года.

Елизавета Гета