21 мая 2026 г. Деловая платформа CGCI и «Горизонт КФ» провели экспертную сессию «Совет директоров и система управления рисками и внутреннего контроля: вызовы и практики управления технологическими рисками».
Мероприятие объединило представителей советов директоров, экспертов по корпоративному управлению, внутреннему аудиту и контролю и информационной безопасности. В центре обсуждения оказались изменения в подходе к надзору за технологическими рисками, влияние искусственного интеллекта на бизнес-процессы и растущая ответственность советов директоров за цифровую устойчивость компаний.
Спикерами экспертной сессии выступили: директор направления «Управление рисками, внутренний контроль и аудит» компании «Горизонт КФ» Елизавета Азаренкова, директор по маркетингу в России, странах СНГ, Закавказья и Средней Азии «Лаборатории Касперского» Джабраил Матиев, генеральный директор VisionLabs Дмитрий Марков, директор по внутреннему аудиту X5 Иван Ворона, председатель Комитета по аудиту, независимый директор, член Совета директоров одной из ведущих технологических компаний – лидера отрасли Владислав Погуляев, директор по внутреннему аудиту компании ПАО «МегаФон» Евгения Караогланова, директор департамента финансовых и профессиональных рисков, лидер практики D&O страхового брокера «Ремайнд» Ольга Глазкова.
Сессию модерировала Алла Салтыкова, независимый директор, член советов директоров крупных российских компаний, председатель комитета по аудиту и рискам совета директоров.
Трансформация IT-проблемы в ключевой фактор стратегического управления компанией.
Модератор дискуссии Алла Салтыкова отметила, что технологические риски сегодня охватывают значительно более широкий контур, чем классическая кибербезопасность. Речь идёт также об операционной устойчивости бизнеса, управлении данными, цифровой трансформации и способности компаний адаптироваться к новым технологическим вызовам, трансформации бизнес-модели.
Эксперт компании «Горизонт КФ» Елизавета Азаренкова представила результаты международных исследований, согласно которым киберриски и риски, связанные с искусственным интеллектом, входят в число ключевых глобальных угроз ближайших лет. По данным глобальных исследований, компании отмечают низкий уровень готовности к новым технологическим угрозам и лишь 24% организаций инвестируют в проактивные меры управления рисками больше, чем в реактивное реагирование.
Отдельное внимание в ходе дискуссии было уделено трансформации роли советов директоров. По данным глобального опроса за последние 2-3 года более 73% руководителей и членов советов директоров отмечают усиление вовлечённости СД в вопросы стратегического управления технологическими рисками и устойчивости бизнеса. При этом всё более актуальным становится вопрос развития компетенций членов советов директоров в области технологий, информационной безопасности и управления данными.
Также Елизавета Азаренкова отметила, что проведение независимой интегрированной оценки уровня зрелости ИТ-управления и системы управления рисками в целом может стать важным первым шагом к совершенствованию корпоративного управления в области технологических рисков и выявлению системных проблем, требующих внимания на уровне совета директоров и менеджмента.
Отмечается растущий интерес компаний к созданию специализированных технологических комитетов при советах директоров. Однако, как показывает международная практика, такие комитеты пока существуют лишь у ограниченного числа компаний, а основной надзор за технологическими рисками продолжает оставаться в зоне ответственности комитетов по аудиту и рискам.
Киберриски: устойчивость бизнеса, геополитика и судебная практика
Представитель «Лаборатории Касперского» Джабраил Матиев отметил, что современный ландшафт киберугроз становится всё более сложным из-за распространения генеративного искусственного интеллекта, автоматизации атак и атак на цепочки поставок. При этом киберриски перешли из области бизнес-войн в область геополитики и Россия сегодня остаётся одной из наиболее атакуемых стран. Киберриски уже напрямую влияют на непрерывность бизнеса и финансовую устойчивость компаний.
Среди ключевых тенденций выделяют сокращение времени проникновения злоумышленников в инфраструктуру компаний, рост атак через доверенных поставщиков и повышение роли сценариев быстрого восстановления бизнеса после кибер-инцидентов. Участники подчеркнули: ни одна система не может гарантировать абсолютную защищённость, поэтому критически важным становится не только предотвращение атак, но и готовность компании к оперативному восстановлению процессов.
Отдельный блок обсуждения был посвящён рискам, связанным с развитием дипфейк- технологий и цифровой идентификации. Генеральный директор VisionLabs Дмитрий Марков рассказал о стремительном росте доступности инструментов создания дипфейков и рисках для финансового сектора, дистанционной идентификации и судебной практики. По его словам, современные технологии уже позволяют создавать убедительные подделки голоса и видео, которые становятся инструментом мошенничества и социальной инженерии.
Технологические риски и совет директоров: курс на сближение
Независимый директор, Председатель Комитета по аудиту Владислав Погуляев в своем выступлении подчеркнул, что технологические риски требуют реального, а не формального участия совета директоров. Для этого нужен компетентный совет директоров, работающие комитеты, сильный внутренний аудит, понятные метрики и постоянный диалог с менеджментом. Ключевую роль здесь играют акционеры и председатель совета директоров, которые формируют состав совета под конкретный риск-профиль бизнеса.
Компетенции совета директоров необходимо регулярно пересматривать.
Для компаний с высоким уровнем технологических рисков состав совета должен включать соответствующую экспертизу. В качестве инструментов оценки можно рекомендовать матрицы и «диаграммы компетенций», которые позволяют понять, хватает ли совету директоров знаний по технологиям, рискам и цифровой трансформации.
Если риск важен, он должен быть измерим.
Владислав Погуляев подчеркнул, что технологические риски должны иметь конкретные показатели и KPI. Более того, такие показатели следует включать не только в цели ИТ- или ИБ-директора, но и в KPI всей управляющей команды, чтобы ответственность за устойчивость бизнеса была общей.
Совету директоров необходим сильный внутренний аудит
Совет директоров обязан обеспечить службу внутреннего аудита необходимыми полномочиями, ресурсами и бюджетом на привлечение внешних экспертов для оценки сложных технологических вопросов, включая кибербезопасность и эффективность ИТ-политик. При этом внутренний аудит должен говорить на языке бизнеса, т.е. отчёты аудита должны содержать не только описание проблем, но и понятные управленческие рекомендации. Важно также контролировать исполнение рекомендаций, чтобы выводы аудита приводили к реальным изменениям. Современный внутренний аудит должен не только проверять существующие процессы, но и выступать ранним индикатором новых технологических рисков, обеспечивая качественный диалог между менеджментом и советом директоров и помогая компании адаптироваться к быстро меняющейся технологической среде.
Тему внутреннего аудита продолжил Иван Ворона (X5), уделив особое внимание роли внутреннего аудита как инструмента независимой проверки. Такой независимый взгляд позволяет совету директоров получать объективную информацию и снижает риск внутренних конфликтов между различными функциями компании.
По словам Вороны, в крупных организациях нередко могут возникать разногласия между IT-подразделениями и службами информационной безопасности относительно ответственности за отдельные риски и инциденты. В таких случаях внутренний аудит может выступить в роли независимого арбитра, который проверяет фактическое состояние контролей и помогает установить реальную картину происходящего.
Эксперт также подчеркнул важность системного контроля за исполнением рекомендаций по итогам проверок. Недостаточно просто выявить проблему — необходимо обеспечить её устранение и регулярно отслеживать прогресс. Для этого результаты аудитов должны представляться комитету по аудиту в понятной для бизнеса форме с акцентом на конкретные риски, уровень их покрытия и динамику изменений по сравнению с предыдущими периодами.
Отдельной темой выступления стало развитие цифровых компетенций руководителей и сотрудников. По словам Вороны, ещё в период первой волны цифровой трансформации в X5 было принято решение обучать руководителей основам аналитики данных, архитектуры ИТ-систем и цифровых технологий. Сегодня компания реализует масштабные образовательные программы по цифровой трансформации, искусственному интеллекту и продуктовому подходу для руководителей и ключевых сотрудников. Цель таких программ — обеспечить понимание технологических процессов не только у специалистов, но и у бизнес-заказчиков, принимающих решения. Именно сочетание сильного внутреннего аудита, объективного контроля и развития компетенций позволяет совету директоров принимать взвешенные решения в условиях растущей технологической сложности бизнеса.
Директор по внутреннему аудиту ПАО «МегаФон» Евгения Караогланова добавила, что внутренний аудит должен выявлять новые технологические риски раньше, чем они становятся проблемой для бизнеса. Особенно это важно для тех компаний, где технологии фактически являются основой бизнес-модели. Эксперт предложила разделять технологические риски на две категории. Первая — хорошо известные риски, связанные с управлением изменениями, авариями, резервированием и эксплуатацией инфраструктуры, для которых уже существуют устоявшиеся методологии и практики контроля. Вторая — новые риски, возникающие в результате технологических изменений, импортозамещения, появления новых цифровых сервисов и трансформации бизнес-процессов. Именно они сегодня требуют наибольшего внимания со стороны внутреннего аудита и руководства компаний. По словам Караоглановой, одна из важнейших задач внутреннего аудита — своевременно замечать появление новых процессов и проектов, которые ещё не попали в поле зрения высшего руководства. Особое внимание эксперт уделила взаимодействию внутреннего аудита с менеджментом и советом директоров. По её мнению, аудит не должен выносить проблему на уровень совета директоров без предварительной проработки с руководством компании. Задача внутреннего аудита заключается не только в выявлении рисков, но и в содействии выработке практических решений, чтобы совет директоров получал не просто информацию о проблеме, а согласованный план действий по её устранению.
Отдельно эксперт остановилась на вопросе ответственности. По её словам, одним из рисков самого внутреннего аудита является неспособность своевременно обнаружить значимую угрозу. При этом универсального подхода к распределению ответственности за последствия технологических рисков не существует: многое зависит от масштаба риска, зрелости системы управления и корпоративной культуры конкретной компании.
Технологические риски – компетенция директоров
Одним из ключевых выводов дискуссии стало понимание того, что управление технологическими рисками требует интеграции IT, информационной безопасности, корпоративного управления и стратегического менеджмента в единую систему. Эксперты сошлись во мнении, что советы директоров должны не только контролировать текущие технологические проекты, но и формировать культуру устойчивости, развивать компетенции в области цифровых рисков и обеспечивать системный надзор за трансформацией бизнеса.
Факты и цифры
- Только 24% организаций тратят значительно больше ресурсов на проактивные меры предотвращения технологических рисков, чем на реактивные (данные глобальных исследований).
- Всего 13% компаний имеют технологический комитет (данные глобальных исследований).
- Кибератаки вышли за рамки бизнеса в связи с геополитизацией киберпространства
- Оценка инвестиций в кибербезопасность строится на показателях скорости обнаружения атаки, скорости восстановления инфраструктуры, а также стоимости простоя.
- Сегодня в открытом доступе находятся порядка 2000 бесплатных инструментов для создания дипфейков, что порождает проблему «цифрового правосудия» и верификации доказательств в суде
- В России один из самых жестких в мире подходов к регулированию биометрии
- Средний лимит или страховая сумма по договору страхования киберрисков – 350 млн рублей.
Дополнительная информация: osorokina@dir-pro.com