Как эволюция оценки системы внутреннего контроля помогает бизнесу

Система внутреннего контроля (СВК) — это ключевой элемент управления компанией, который защищает ее от финансовых потерь, ошибок и репутационных рисков. Однако наличие системы контроля само по себе не гарантирует ее эффективности — для этого необходима регулярная и объективная оценка. Зачем нужна система внутреннего контроля, какие подходы в ее внедрении используются в мире и в России, как строится матрица рисков, какие реальные результаты дает оценка СВК на примере предприятия ЖКХ, а также какие тренды формируют будущее внутреннего контроля расскажет Иван Крайнов, директор по внутреннему аудиту ГК «Росводоканал»

Зачем вообще оценивать систему внутреннего контроля?

Многие компании сталкиваются с проблемами, которые можно было бы предотвратить при организации эффективной системы внутреннего контроля. К примеру, существует возможность избежать ошибок в расчетах, которые приводят к потере доходов или конфликтам с клиентами; исключить нарушения договорных обязательств из-за слабого контроля за исполнением; предотвратить финансовые махинации, которые остаются незамеченными из-за формального подхода к проверкам, а также минимизировать число неработающих процедур, которые создают иллюзию безопасности, но не предотвращают реальные риски.

В целом, оценка СВК позволяет выявить слабые места, определить степень контроля над рисками, а также предложить конкретные шаги для ее улучшения.

Как оценивают систему внутреннего контроля в мире?

В международной практике для оценки СВК используются: система COSO (Committee of Sponsoring Organizations of the Treadway Commission). Она рассматривает СВК через 5 компонентов: контрольная среда, оценка рисков, контрольные мероприятия, информационное обеспечение, мониторинг. Кроме того, COSO включает в себя анализ бизнес-целей и рисков, а также проверку эффективности контрольных процедур; она используется в крупнейших корпорациях, включая финансовый и промышленный сектора.

Второй системой, которая используется в мире, стала ISO 31000. Эта практика фокусируется на управлении рисками. В значительной степени она применяется для интеграции системы контроля в процессы компании, а также подходит для широкого круга организаций, включая государственные предприятия.

Эти подходы обеспечивают целостный взгляд на систему контроля, помогая не только проверять соответствие требованиям, но и встраивать управление рисками в стратегию компании.

А если говорить о практике применения системы внутреннего контроля в России?

В России подходы к оценке СВК все еще во многом ориентированы на соответствие нормативным требованиям. В частности, федеральный закон «О бухгалтерском учете» обязывает компании внедрять систему контроля, но не дает четких критериев ее оценки. В другом случае, методические рекомендации Банка России устанавливают стандарты для финансового сектора, но применимы они не для всех отраслей. Существуют также международные стандарты аудита (ISA), которые вводят общие требования к внутреннему контролю, но не всегда адаптированы к специфике российских предприятий.

Одной из ключевых проблем остается формальный подход: если в международной практике оценка СВК помогает улучшать бизнес, то в России она часто сводится к отчетности для регуляторов. Однако эта тенденция постепенно меняется.

Как на практике используется матрица оценки рисков?

Один из наиболее эффективных инструментов оценки СВК — матрица рисков, которая позволяет структурировать информацию о рисках и контрольных процедурах. Оценка рисков в матрице осуществляется по двум основным параметрам.

Первый — вероятность возникновения риска, она может быть низкой, средней или высокой. Второй — влияние на компанию, которое чаще всего бывает незначительным, средним или критическим. Затем оценивается степень покрытия риска контрольными процедурами.

В нашей матрице риск может быть «закрыт» (100 баллов), в данном случае риск полностью управляем, контрольные меры эффективны; «частично закрыт» (50 баллов) — контрольные меры присуствуют, но не полностью устраняют риск; «не закрыт» (0 баллов) — контрольные процедуры отсутствуют или не работают.

Назовите ключевые тренды в оценке СВК за последние два года?

В первую очередь, я бы назвал автоматизацию и цифровизацию оценки СВК, которые включают: внедрение специализированных программных решений (GRC-систем), а также использование искусственного интеллекта для выявления аномалий в контроле. Затем мы наблюдаем включение в работу оценки в режиме реального времени. Эти процедуры затрагивают переход от периодических проверок к непрерывному мониторингу и интеграцию оценочных показателей в дашборды руководителей. Отдельно хотел бы выделить фокус на киберриски и ИТ-контроль, в данном случае имеет особое значение усиление контроля за безопасностью данных и устойчивостью ИТ-инфраструктуры, оценка эффективности защиты от кибератак и несанкционированного доступа.

Важным трендом в оценке СВК стал ESG и контроль устойчивого развития. Это направление подразумевает включение в оценку СВК показателей экологической и социальной ответственности, а также анализ рисков, связанных с соблюдением принципов устойчивого развития. Особым образом также выделяется гибкость и адаптивность контроля, с учетом ухода от жестких шаблонов к гибким методологиям, адаптируемым под специфику бизнеса, в сочетании с ростом популярности риск-ориентированного подхода.

Какой вы дадите прогноз: как изменится оценка СВК в будущем?

Я считаю, что в 2025–2030 годах возобладают тенденции активного развития искусственного интеллекта и предиктивной аналитики. На практике это будет означать: внедрение ИИ для прогнозирования рисков и оценки их влияния, автоматический анализ больших массивов данных для выявления слабых мест в бизнес-процессах и контрольных процедурах, в частности. А начиная с 2030 года и далее мы будем наблюдать полную интеграцию в деятельность процедур управления рисками и внутреннего контроля. Системы внутреннего контроля станут неотъемлемой частью управления корпоративной деятельности в режиме реального времени, а оценка СВК перестанет быть отдельным процессом и будет встроена в ежедневную операционную деятельность.

Как вы оцениваете в целом развитие СВК за последние годы?

За последние годы оценка СВК стала более структурированной и объективной. Компании переходят от субъективных оценок к четким количественным критериям, используются матрицы рисков и интегрируются результаты в режимы управления.

Тренды 2023–2025 годов показывают, что оценка СВК становится более цифровой, ориентированной на риски, и интегрированной в повседневное управление бизнесом. В будущем технологии автоматизации и искусственный интеллект помогут не просто проверять систему внутреннего контроля, а предсказывать потенциальные риски и предотвращать их еще задолго до возникновения.

Современный подход к оценке СВК превращает внутренний контроль из формальной процедуры в реальный инструмент управления и повышения эффективности бизнеса.

А что было сделано непосредственно в ГК «Росводоканал» в прошедшем году? Какие внедрены методики?

С 2024 года в ГК «Росводоканал» применялась новая методика оценки СВК, которая основывалась на общей оценке эффективности контролируемого подразделения или процесса. Мы использовали расчетный метод, представляющий собой отношение эффективных контрольных метрик к общему количеству контрольных процедур. В этом году также был расширен перечень контрольных процедур, включаемых в расчет. Кроме того, в аудиторский отчет стали добавляться карты процессов с ключевыми элементами СВК. Мы увеличили количество критериев оценки с трех до четырех, что повысило точность анализа.

С помощью этой системы мы, например, сформировали оценку СВК процесса управления охраной труда и промышленной безопасностью в водоканалах Группы, что помогло более точно оценить систему и принять соответствующие корректирующие меры.

Мы не остановились на этом и в 2025 году обновили методику, которая теперь акцентирует внимание на степени покрытия ключевых рисков аудируемого процесса контрольными процедурами. Вместе с формализованными процедурами, зафиксированными во регламентирующих документах, теперь в расчет также включаются неформализованные контрольные процедуры, как фактически действующие, так и отсутствующие. Это позволяет более полно оценить эффективность системы внутреннего контроля и выявить области для улучшения процедур и процессов.