Система внутреннего контроля в IT-индустрии: от «полиции процессов» к стратегическому партнеру
21 НОЯБРЯ 2025
Генеральный директор Ассоциации «НОВАК», член Общественного совета Минфина России Русакова А.С.
В быстро меняющемся мире технологических компаний, где скорость выпуска продукта и гибкость разработки часто являются ключевыми конкурентными преимуществами, роль системы внутреннего контроля (СВК) претерпевает фундаментальную трансформацию. Если в традиционных секторах экономики внутренний контроль долгое время ассоциировался с ретроспективными проверками и соблюдением регламентов, то в IT он все чаще становится драйвером операционной эффективности и стратегическим партнером бизнеса. О том, как выстраивается эта функция в ведущих российских IT-компаниях, каковы ее уникальные вызовы и будущие векторы развития, шла речь на экспертной сессии в рамках Национальной конференции «НОВАК» с участием представителей «Авито», группы «Астра», «Лаборатории Касперского» и «Яндекса».
В быстро меняющемся мире технологических компаний, где скорость выпуска продукта и гибкость разработки часто являются ключевыми конкурентными преимуществами, роль системы внутреннего контроля (СВК) претерпевает фундаментальную трансформацию. Если в традиционных секторах экономики внутренний контроль долгое время ассоциировался с ретроспективными проверками и соблюдением регламентов, то в IT он все чаще становится драйвером операционной эффективности и стратегическим партнером бизнеса. О том, как выстраивается эта функция в ведущих российских IT-компаниях, каковы ее уникальные вызовы и будущие векторы развития, шла речь на экспертной сессии в рамках Национальной конференции «НОВАК» с участием представителей «Авито», группы «Астра», «Лаборатории Касперского» и «Яндекса».
Эволюция роли: от надзирателя к созидателю
Одной из ключевых тем дискуссии стал сдвиг в восприятии функции внутреннего контроля внутри организаций. Участники единогласно отметили, что современная СВК в IT — это не карающий орган, а партнер, нацеленный на помощь бизнесу в достижении его целей.
«Наша задача — не просто писать отчеты, а приносить реальную пользу. Часто от руководства поступает запрос не на проверку, а на консультацию: как быть в той или иной ситуации, как развивать направление. Фокус сместился с надзорной деятельности на совместную работу с менеджментом», — подчеркнула представитель группы «Астра».
Этот подход требует изменения самой философии работы. Вместо того чтобы искать виноватых, служба внутреннего контроля выступает в роли внутреннего консультанта, который помогает бизнес-единицам увидеть «слепые зоны», укрепить процессы и предотвратить проблемы до их возникновения. Успешность функции начинает измеряться не количеством найденных нарушений, а ее способностью генерировать позитивные изменения, экономить ресурсы и повышать надежность ключевых продуктов и сервисов.
Организационные модели: гибкость против стандартов
Вопрос подчиненности и места СВК в организационной структуре в IT-компаниях решается нешаблонно, что обусловлено как спецификой бизнеса, так и различиями в регуляторном давлении. В публичных компаниях, таких как группа «Астра», структура строится в строгом соответствии с требованиями биржи и Центрального банка, предусматривая независимое подразделение внутреннего аудита, подотчетное совету директоров. Это классическая модель, обеспечивающая максимальную объективность.
В частных компаниях, например, в «Лаборатории Касперского», подход более гибкий. Здесь функция внутреннего контроля исторически выросла из необходимости контроля выпуска программных продуктов и со временем встроилась в ветку безопасности. «Вы спросите, как обеспечивается независимость? — отметил Абрамов Сергей, руководитель управления ВК Лаборатории Касперского. — Планы по аудиту формирует не непосредственный руководитель, а совет директоров, которому и направляется отчетность. Это позволяет сохранять объективность, несмотря на административное нахождение в структуре безопасности».
В «Авито» и «Яндексе» функция также претерпела структурные изменения, выделившись в отдельные департаменты, объединяющие внутренний контроль, аудит и управление рисками, с прямым подчинением первому лицу компании (CEO). Это обеспечивает прямой доступ к высшему руководству и позволяет оперативно координировать решения.
Этапы развития и уникальные вызовы
Путь становления функции внутреннего контроля в технологических компаниях часто имеет свои уникальные точки роста.
В «Лаборатории Касперского» отправной точкой в 2008 году стал контроль выпуска антивирусных баз и релизов продуктов. Столкнувшись с повторяющимися IT-инцидентами, имевшими общие корневые причины, команда внедрила практики Problem Management, а затем постепенно расширила свою экспертизу на финансовые и HR-процессы, придя к полноценному риск-менеджменту.
Для группы «Астра», активно растущей за счет M&A, главным вызовом стала интеграция новых компаний в единую экосистему. «У каждой прибывшей компании было свое понимание, что такое внутренний контроль, а для кого-то это слово было откровением, — поделилась представитель компании. — Наша задача была не в проверках, а в консультировании и формировании единого контрольного пространства».
Среди ключевых вызовов, с которыми сталкиваются руководители СВК в IT, участники выделили:
Осязаемая польза: проекты, которые меняют бизнес
Участники сессии привели конкретные примеры, демонстрирующие реальное влияние СВК на бизнес-результаты.
В «Лаборатории Касперского» гордятся выстроенной системой контроля выпуска обновлений. В индустрии, где ошибка в антивирусном продукте может парализовать работу тысяч организаций по всему миру (что и происходило с продуктами конкурентов), была создана сложная многоуровневая система. Она включает в себя роботизированное тестирование на сотнях комбинаций продуктов и операционных систем, а также «выключатель» — механизм автоматической блокировки распространения обновления при обнаружении аномалий в работе у пользователей. Этот комплекс мер на протяжении более 15 лет позволяет избегать серьезных инцидентов.
В «Яндексе» одним из значимых проектов стала разработка и внедрение централизованной системы авторизации мастер-данных, что существенно снизило операционные риски и нагрузку на сопровождающие подразделения.
Векторы развития: автоматизация, интеграция и проактивность
Взгляд в будущее функции внутреннего контроля в IT единодушно связывается с несколькими ключевыми трендами.
Заключение
Опыт ведущих IT-компаний наглядно демонстрирует, что внутренний контроль в цифровую эпоху — это динамичная и многогранная функция. Ее успех зависит от способности отказаться от устаревших шаблонов, глубоко интегрироваться в специфику технологического бизнеса, говорить с разработчиками на их языке и постоянно искать пути создания добавленной стоимости. Из затратного центра, обеспечивающего формальное соответствие, СВК превращается в стратегического партнера, чья работа напрямую влияет на качество продукта, эффективность затрат и, в конечном счете, на устойчивость и репутацию всего бизнеса. В мире, где риски становятся все более сложными и скоротечными, такой партнер становится не просто полезным, а жизненно необходимым.
Одной из ключевых тем дискуссии стал сдвиг в восприятии функции внутреннего контроля внутри организаций. Участники единогласно отметили, что современная СВК в IT — это не карающий орган, а партнер, нацеленный на помощь бизнесу в достижении его целей.
«Наша задача — не просто писать отчеты, а приносить реальную пользу. Часто от руководства поступает запрос не на проверку, а на консультацию: как быть в той или иной ситуации, как развивать направление. Фокус сместился с надзорной деятельности на совместную работу с менеджментом», — подчеркнула представитель группы «Астра».
Этот подход требует изменения самой философии работы. Вместо того чтобы искать виноватых, служба внутреннего контроля выступает в роли внутреннего консультанта, который помогает бизнес-единицам увидеть «слепые зоны», укрепить процессы и предотвратить проблемы до их возникновения. Успешность функции начинает измеряться не количеством найденных нарушений, а ее способностью генерировать позитивные изменения, экономить ресурсы и повышать надежность ключевых продуктов и сервисов.
Организационные модели: гибкость против стандартов
Вопрос подчиненности и места СВК в организационной структуре в IT-компаниях решается нешаблонно, что обусловлено как спецификой бизнеса, так и различиями в регуляторном давлении. В публичных компаниях, таких как группа «Астра», структура строится в строгом соответствии с требованиями биржи и Центрального банка, предусматривая независимое подразделение внутреннего аудита, подотчетное совету директоров. Это классическая модель, обеспечивающая максимальную объективность.
В частных компаниях, например, в «Лаборатории Касперского», подход более гибкий. Здесь функция внутреннего контроля исторически выросла из необходимости контроля выпуска программных продуктов и со временем встроилась в ветку безопасности. «Вы спросите, как обеспечивается независимость? — отметил Абрамов Сергей, руководитель управления ВК Лаборатории Касперского. — Планы по аудиту формирует не непосредственный руководитель, а совет директоров, которому и направляется отчетность. Это позволяет сохранять объективность, несмотря на административное нахождение в структуре безопасности».
В «Авито» и «Яндексе» функция также претерпела структурные изменения, выделившись в отдельные департаменты, объединяющие внутренний контроль, аудит и управление рисками, с прямым подчинением первому лицу компании (CEO). Это обеспечивает прямой доступ к высшему руководству и позволяет оперативно координировать решения.
Этапы развития и уникальные вызовы
Путь становления функции внутреннего контроля в технологических компаниях часто имеет свои уникальные точки роста.
В «Лаборатории Касперского» отправной точкой в 2008 году стал контроль выпуска антивирусных баз и релизов продуктов. Столкнувшись с повторяющимися IT-инцидентами, имевшими общие корневые причины, команда внедрила практики Problem Management, а затем постепенно расширила свою экспертизу на финансовые и HR-процессы, придя к полноценному риск-менеджменту.
Для группы «Астра», активно растущей за счет M&A, главным вызовом стала интеграция новых компаний в единую экосистему. «У каждой прибывшей компании было свое понимание, что такое внутренний контроль, а для кого-то это слово было откровением, — поделилась представитель компании. — Наша задача была не в проверках, а в консультировании и формировании единого контрольного пространства».
Среди ключевых вызовов, с которыми сталкиваются руководители СВК в IT, участники выделили:
- Сопротивление изменениям. Бизнес-подразделения, привыкшие к тому, что СВК выполняет часть операционных контролей, не всегда легко принимают новую, консультационную роль службы.
- Высокая скорость изменений. Постоянное появление новых продуктов и сервисов требует от команды внутреннего контроля гибкости и способности быстро перестраивать свои планы и подходы.
- Работа с высококлассными специалистами. В среде инженеров и разработчиков, многие из которых являются признанными экспертами в своих областях, чтобы быть услышанным, контролер должен не только говорить на одном языке, но и обладать авторитетом и уметь аргументированно доказывать свою точку зрения.
- Бюджетные ограничения. Инициативы по автоматизации контрольных процедур часто упираются в вопрос финансирования. Выходом становится эскалация вопроса на уровень CEO при наличии значительных рисков или поиск нестандартных решений силами внутренних IT-ресурсов.
Осязаемая польза: проекты, которые меняют бизнес
Участники сессии привели конкретные примеры, демонстрирующие реальное влияние СВК на бизнес-результаты.
В «Лаборатории Касперского» гордятся выстроенной системой контроля выпуска обновлений. В индустрии, где ошибка в антивирусном продукте может парализовать работу тысяч организаций по всему миру (что и происходило с продуктами конкурентов), была создана сложная многоуровневая система. Она включает в себя роботизированное тестирование на сотнях комбинаций продуктов и операционных систем, а также «выключатель» — механизм автоматической блокировки распространения обновления при обнаружении аномалий в работе у пользователей. Этот комплекс мер на протяжении более 15 лет позволяет избегать серьезных инцидентов.
В «Яндексе» одним из значимых проектов стала разработка и внедрение централизованной системы авторизации мастер-данных, что существенно снизило операционные риски и нагрузку на сопровождающие подразделения.
Векторы развития: автоматизация, интеграция и проактивность
Взгляд в будущее функции внутреннего контроля в IT единодушно связывается с несколькими ключевыми трендами.
- Тотальная автоматизация. Это главный приоритет для всех участников дискуссии. Речь идет не только о автоматизации самих бизнес-процессов, но и о внедрении инструментов для автоматического сбора доказательств выполнения контрольных процедур и непрерывного мониторинга. Это позволяет высвободить ресурсы для более глубокой, аналитической работы.
- Проактивность и предотвращение рисков. Идеал, к которому стремятся компании, — это переход от реактивного выявления проблем к их предвосхищению. «Наша ценность — в способности предотвратить ущерб», — эта мысль, высказанная одним из спикеров, отражает общую установку.
- Интеграция в процессы разработки (DevSecOps, Security by Design). Контроль качества и безопасности начинает внедряться на самых ранних этапах жизненного цикла продукта. Участие в разработке стандартов безопасной разработки, как в «Лаборатории Касперского», — яркий пример того, как СВК влияет не на следствие, а на причину потенциальных рисков.
- Использование Artificial Intelligence (AI) и Data Analytics. В перспективе 5-10 лет участники видят систему, где рутинный аудит и мониторинг цифрового следа будут полностью делегированы AI. Роль человека сместится к настройке этих систем, анализу сложных аномалий и стратегическому консалтингу на этапе запуска новых продуктов и инициатив.
- Растворение в бизнесе. Конечная цель — создание такой зрелой контрольной среды, где ответственность за риски и контроль полностью осознана и принята бизнес-подразделениями, а СВК становится архитектором этой среды, а не ее надсмотрщиком.
Заключение
Опыт ведущих IT-компаний наглядно демонстрирует, что внутренний контроль в цифровую эпоху — это динамичная и многогранная функция. Ее успех зависит от способности отказаться от устаревших шаблонов, глубоко интегрироваться в специфику технологического бизнеса, говорить с разработчиками на их языке и постоянно искать пути создания добавленной стоимости. Из затратного центра, обеспечивающего формальное соответствие, СВК превращается в стратегического партнера, чья работа напрямую влияет на качество продукта, эффективность затрат и, в конечном счете, на устойчивость и репутацию всего бизнеса. В мире, где риски становятся все более сложными и скоротечными, такой партнер становится не просто полезным, а жизненно необходимым.
Подпишитесь на наши новости
Будьте в курсе всех актуальных анонсов, новостей и акций Ассоциации НОВАК
*Отправляя свои данные, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности, согласно 152-ФЗ