Иван Ворона, X5 Group: Надежная система риск-менеджмента — стабильность бизнеса в любых условиях
X5 Group внедрила решение ОАЗИС компании «Т1 Иннотех» для управления внутренним аудитом, комплаенс, рисками и контрольными процедурами. О ходе масштабного проекта, реализованного меньше чем за год, преодоленных трудностях и достигнутых результатах рассказывает Иван Ворона, директор по внутреннему аудиту X5 Group.
Ворона
В октябре 2024 года X5 Group объявила о завершении проекта внедрения GRC-платформы ОАЗИС. Вы использовали до этого какое-либо решение для управления рисками? Каковы были цели проекта?
Иван Ворона: В X5 Group наработана большая библиотека рисков и контрольных процедур. Внутренний аудит использовал западное аудиторское программное обеспечение. А вот у второй линии защиты — подразделений, которые занимаются управлением рисками, методологией внутреннего контроля, комплаенсом — к сожалению, специализированного ПО не было.
Нашей задачей было не просто внедрение единой платформы для управления рисками, контролями, комплаенсом и внутренним аудитом, но и создание единой базы рисков и контролей для обмена информацией с владельцами бизнес-процессов.
Как вы считаете, насколько актуальна задача управления рисками для современных российских компаний в целом и для X5 в частности?
Иван Ворона: В любой кризисный период, в ситуациях повышенной неопределенности актуальность риск-менеджмента возрастает. Сейчас для всех российских компаний, и для X5 в частности, риск-менеджмент крайне важен, ведь он помогает подготовиться к угрозам, проработать реакцию на них и продолжать успешно работать, что бы ни случилось.
Что бы вы сказали компаниям, которые считают, что невозможно управлять «черными лебедями» и подготовиться к событиям, подобным тем, что сейчас происходят в стране и мире?
Иван Ворона: Согласен, «черных лебедей» предугадать невозможно. А уж тем более управлять ими. Я бы сформулировал задачу по-другому: нужно не управлять «черными лебедями», а готовить компанию к быстрому, гибкому, своевременному реагированию на события такого рода.
Методология Business Impact Analysis (анализ влияния на бизнес), disaster recovery planning (планирование аварийного восстановления) как раз предполагает, что даже если случится катастрофическое событие, компания будет знать, как к нему адаптироваться. Не так важно, что именно произойдет. Важно, как на это реагировать. И как раз риск-менеджмент в этом очень помогает.
Какими рисками необходимо управлять в первую очередь?
Иван Ворона: Поскольку непрерывность бизнес-процессов является ключевой задачей для выживания и развития любой современной компании, как никогда ранее важно направить фокус внимания в управлении рисками на обеспечение непрерывности бизнеса.
Как вы выбирали решение для управления рисками? Какие требования предъявляли к платформе и вендору?
Иван Ворона: Разумеется, мы рассматривали только отечественных производителей. Обнаружили на рынке три крупных системы класса GRC, которые были выстроены с учетом передовых практик риск-менеджмента, в том числе западных.
Оценивали, во-первых, функциональные возможности продукта: насколько они широкие, насколько хорошо можно настроить систему под разные задачи. Во-вторых, изучали техническую составляющую: насколько платформа передовая с точки зрения технологического стека, насколько гибкая с точки зрения ее дальнейшего развития, поддержки, обеспечения прав доступа. Ну и, конечно, смотрели на стоимость, как начальную, так и TCO.
Особенно важна для нас была возможность кастомизации. X5 Group имеет многолетний опыт управления рисками и свои методологические особенности, будь то в риск-менеджменте или во внутреннем аудите. Поэтому очень важно, чтобы система не навязывала нам свою методологию, а подстраивалась под нас.
Расскажите о ходе проекта. Как долго он длился, из каких этапов состоял? Что вы делали сами, а что силами подрядчика?
Иван Ворона: Это была большая совместная работа. Проект длился чуть меньше года. Для такого масштаба компании, как наша, и того количества реализованных модулей и объема импортированных данных, с которыми мы работали, сроки получились очень агрессивными.
В описании бизнес-требований лидировал подрядчик. Все методологические вопросы были на нашей стороне. По отдельным моментам нас поддерживала консалтинговая фирма, ранее входившая в Big4. Вопросы риск-менеджмента, комплаенса и аудита у нас проработаны хорошо, поэтому коллеги помогали в основном с пользовательскими инструкциями, требованиями к настройке отчетов и т.д. Разработка, внедрение, управление проектом были, конечно же, на стороне подрядчика. Тестирование проводили совместно, потому что любые выявленные ошибки требуют оперативной обратной связи. Разработчик реагировал очень быстро, оперативно выполнял необходимые доработки.
Столкнулись ли вы с какими-либо проблемами во время проекта и, если да, как их решали?
Иван Ворона: Мы столкнулись с классическими проблемами, связанными с управлением проектом. Наши достаточно оптимистичные ожидания с точки зрения его рамок — объемов работ и, соответственно, ресурсов — привели к тому, что пришлось несколько раз усиливать команды. Мы должны были закончить работы в течение года, поэтому пришлось несколько раз увеличивать команду и со стороны X5, и со стороны подрядчика. Когда ресурсов не хватало, порой приходилось сдвигать и сроки, так как для нас было важно сделать качественно.
В конечном счете, мы закончили вовремя и рады, что сделали по-настоящему крутой проект. Но далось нам это непросто.
Каких результатов удалось добиться?
Иван Ворона: Мы создали децентрализованную систему управления рисками. Помимо основного координатора — департамента рисков, в системе работает много центров экспертизы по специфичным рискам, таким как риски мошенничества, предотвращения злоупотреблений, риски информационной безопасности, а также специализированные области, например, охрана труда или пищевая безопасность. Система позволяет ввести реестры по всем областям рисков в рамках единой методологии, и мы планируем постепенно расширять круг пользователей среди подразделений второй линии защиты.
Сейчас единый реестр процессов в ОАЗИС содержит более 600 процессов уровня L1. В библиотеке рисков — более 1000 рисков и более 6000 контрольных процедур по 117 бизнес-процессам.
Гибкая система распределения прав позволяет предоставлять сотрудникам доступ только к тем процессам, которыми они управляют, что снижает риски утечки чувствительной и конфиденциальной информации.
Что бы вы посоветовали компаниям, которые планируют аналогичный проект?
Иван Ворона: Как эксперт российского института внутренних аудиторов, я общаюсь с довольно большим количеством крупных компаний, провожу тренинги и консультирую. Исходя из понимания внутренней кухни крупных компаний, я рекомендовал бы им поэтапный, модульный путь внедрения. При этом обязательно на единой платформе, заранее предусмотрев возможности интеграций и масштабирования.
Поэтапный проект может затянуться на 2−3 года, зато даст возможность работать в менее напряженном режиме, чем мы: реализовать планы по риск-менеджменту, миграции рисков, внедрению контрольных процедур и их проверкам, при этом занимаясь основной деятельностью. Тем более, что сейчас на рынке не так много специалистов, и все провайдеры ограничены в ресурсах.
Компаниям меньшего масштаба стоит подождать появления коробочных решений. Хоть это и будет предполагать радикальный пересмотр привычной методологии, но потребует значительно меньших ресурсов на внедрение и кастомизацию.
Есть ли у вас планы по развитию системы?
Иван Ворона: Мы достигли неплохого уровня автоматизации и планируем двигаться в сторону высокотехнологичных компаний. В частности, в 2025 году стартуем пилот по использованию искусственного интеллекта на базе платформы ОАЗИС для выявления недостатков во внутреннем контроле, содействия работе аудиторов при написании запросов, осуществлении выгрузок, протоколировании встреч с бизнесом.
Естественно, будем использовать имеющиеся массивы данных для машинного обучения, генеративных моделей ИИ, чтобы повысить эффективность работы аудиторов.
Я считаю, что мы не ошиблись в выборе системы. Консалтинговая компания ТеДо ставит платформу ОАЗИС на первое место среди российских GRC-приложений. Одним из преимуществ платформы является возможность работы с ИИ-приложениями. Поэтому наш основной фокус в развитии системы управления рисками — именно на использовании искусственного интеллекта во внутреннем аудите. И обязательно с использованием платформы ОАЗИС.
