Проблемы и решения: как внутренний аудит предоставляет разумные гарантии на всех уровнях управления рисками — мнение Валерия Павловича Горегляда

25.11.2025 | 17:37 Технологии

Дискуссия о «разумных гарантиях» выводит внутренний аудит из роли ревизора «после факта» к позиции институционального архитектора доверия. Речь идёт не об абсолютной защите — она в принципе недостижима, — а о таком уровне уверенности в корректности данных, законности процедур и устойчивости процессов, который соответствует целям организации, её риск-аппетиту и ресурсам. В работах Валерия Павловича Горегляда эта логика прослеживается от бюджетной архитектуры и закупок до цифрового аудита и управления операционными рисками: именно согласованность правил и технологий превращает контроль в инструмент развития, а не в «тормоз» инноваций.

Проблематика на стратегическом уровне начинается с разрыва между декларируемым риск-аппетитом и реальными управленческими порогами. Нередко цели программ и нацпроектов фиксируются в стратегиях, но не транслируются в SLA, индикаторы и регламенты эскалации. В результате контроль оборачивается отчётностью ради отчётности. Решение — риск-ориентированная методология, где единая таксономия рисков, RCSA-оценки, ключевые индикаторы и «панель инцидентов» задают общий язык для трёх линий защиты: менеджмента, риск-функций и внутреннего аудита. В этой рамке уроки инцидентов возвращаются в проектирование процессов и ИТ-архитектуры, а не уходят в архив.

Не менее характерная проблема — несоизмеримость стратегических целей с бюджетными механизмами. Пока расходы планируются «по статье», инновационные проекты теряют предсказуемость и горизонт. Горегляд последовательно отстаивает программно-целевой подход, при котором бюджетные рубли получают измеримые результаты и увязаны с межведомственными цепочками создания стоимости. Такое «сшивание» политики, управления и учёта превращает расходы в инвестиции, повышая дисциплину исполнения и качество обратной связи.

На тактическом уровне узким местом выступают закупки и управление отношениями с поставщиками. Проблемы хорошо известны: «заточка» требований под конкретный продукт, дробление лотов, подмена функциональных характеристик перечнями брендов, игнорирование совокупной стоимости владения. Горегляд показывает, что разумные гарантии здесь возникают из дизайна правил, а не из тотального контроля каждой сделки: функциональные ТЗ, контракты жизненного цикла, пилоты, стандартные механизмы распределения рисков в контракте. Роль внутреннего аудита — проверять устойчивость этих правил, прозрачность распределения ответственности и качество данных по всему жизненному циклу закупки.

Операционный уровень сталкивается с другой группой проблем: фрагментированные справочники и реестры, «чёрные ящики» в отчётности, запаздывание контроля относительно процесса. Здесь Горегляд говорит о цифровом аудите — непрерывном мониторинге, «вшитом» в транзакции. Разумные гарантии обеспечиваются сквозными реестрами, едиными метаданными, автоматизированными контрольными событиями и управлением качеством данных (владельцы наборов, lineage, метрики полноты и консистентности). Такой контур не удлиняет цикл принятия решений, а делает его доказательным: сигнал появляется в момент отклонения, а не после закрытия периода.

Отдельная, стремительно растущая зона — операционные и киберриски в условиях VUCA-среды и облачных инфраструктур. Проблемы — параллельное существование ИБ и операционного контроля, редкие стресс-тесты, эпизодические тренировки, «бумажный» due diligence третьих лиц. Решение — интеграция: единые каталоги уязвимостей и событий, синхронизация ИБ-метрик с операционными KPI, регулярные сценарные учения и пентесты, переход от одноразовой проверки поставщика к управлению рисками третьих лиц на всём жизненном цикле контракта.

Человеческий фактор остаётся фундаментальным. Дефицит аналитических навыков, мотивация «не выносить сор из избы», практики «ручного управления» могут разрушать даже самую совершенную методологию. Горегляд обосновывает необходимость на институциональной автономии внутреннего аудита и целевых моделях подготовки кадров — «цифровых школах», совмещающих академические курсы и практику в контрольных органах. Культура открытого уведомления о рисках (защищённые каналы, запрет любых ответных мер, обязательная обратная связь) и закреплённая ответственность за данные (назначенные владельцы наборов, KPI по качеству и своевременности) делают контур контроля воспроизводимым. В результате «разумные гарантии» становятся свойством организации — следствием правил, компетенций и управленческих практик, а не только эффектом ИТ-инвестиций.

Суммируя, разумные гарантии формируются как связанная система решений на всех уровнях управления рисками. Стратегический уровень — определение риск-аппетита и целевых результатов программ (в документах стратегического и бюджетного планирования) с последующей трансляцией этих ориентиров в требования к управлению рисками и оценке результатов. Тактический уровень — архитектура закупок и управление рисками третьих лиц: квалификация и предварительная комплексная проверка поставщиков (правовая, финансовая, технологическая), требования к раскрытию аффилированности и предотвращению конфликта интересов, распределение рисков в контракте, контракты жизненного цикла, мониторинг исполнения и санкции. Операционный уровень — цифровой аудит и управление качеством данных: непрерывный мониторинг операций и показателей, единые справочники и реестры, метрики полноты, согласованности, актуальности и уникальности данных с заданными порогами и SLA.