V. Система управления рисками и внутреннего контроля

5.1. В обществе должна быть создана эффективно функционирующая система управления рисками и внутреннего контроля, направленная на обеспечение разумной уверенности в достижении поставленных перед обществом целей.

5.1.1. Советом директоров общества должны быть определены принципы и подходы к организации системы управления рисками и внутреннего контроля в обществе.

251. Ответственность за определение принципов и подходов к организации системы управления рисками и внутреннего контроля в обществе несет совет директоров общества.

252. При создании системы управления рисками и внутреннего контроля рекомендуется применять общепринятые концепции и практики работы в области управления рисками и внутреннего контроля <1>.

--------------------------------

<1> См.: Интегрированная концепция построения системы внутреннего контроля COSO; Концепция (COSO) "Управление рисками организаций. Интегрированная модель" Комитета спонсорских организаций Комиссии Трэдвэй (The Committee of Sponsoring Organizations of the Treadway Commission); Международный стандарт ИСО 31000 "Менеджмент риска. Принципы и руководящие указания"; Международный стандарт ИСО 31010 "Менеджмент риска. Техники оценки рисков" и др.

253. При определении принципов и подходов к организации системы управления рисками и внутреннего контроля рекомендуется исходить из задач этой системы, которыми являются:

1) обеспечение разумной уверенности в достижении целей общества;

2) обеспечение эффективности финансово-хозяйственной деятельности и экономичного использования ресурсов;

3) выявление рисков и управление такими рисками;

4) обеспечение сохранности активов общества;

5) обеспечение полноты и достоверности бухгалтерской (финансовой), статистической, управленческой и другой отчетности;

6) контроль соблюдения законодательства, а также внутренних политик, регламентов и процедур общества.

254. Эффективная система управления рисками и внутреннего контроля подразумевает построение ее на различных уровнях управления с учетом роли соответствующего уровня в процессе разработки, утверждения, применения и оценки системы управления рисками и внутреннего контроля:

1) на операционном уровне - путем внедрения и выполнения необходимых контрольных процедур в операционных процессах;

2) на организационном уровне - посредством организации функций, координирующих деятельность общества в рамках системы управления рисками и внутреннего контроля и обеспечивающих ее работу (такую, как управление рисками, внутренний контроль, комплаенс-контроль, контроль качества и др.).

255. Организация системы управления рисками и внутреннего контроля требует формализации во внутренних документах общества роли и задач совета директоров, исполнительных органов, ревизионной комиссии, подразделения внутреннего аудита и иных подразделений общества, а также порядка их взаимодействия.

5.1.2. Исполнительные органы общества должны обеспечивать создание и поддержание функционирования эффективной системы управления рисками и внутреннего контроля в обществе.

256. Исполнительные органы обеспечивают создание и поддержание функционирования эффективной системы управления рисками и внутреннего контроля в обществе, отвечают за выполнение решений совета директоров в области организации системы управления рисками и внутреннего контроля.

257. Исполнительные органы общества распределяют полномочия, обязанности и ответственность между находящимися в их ведении или курируемыми руководителями подразделений общества за конкретные процедуры управления рисками и внутреннего контроля. Руководители подразделений общества в соответствии со своими функциональными обязанностями несут ответственность за разработку, документирование, внедрение, мониторинг и развитие системы управления рисками и внутреннего контроля во вверенных им функциональных областях деятельности общества.

258. Для эффективного функционирования системы управления рисками и внутреннего контроля рекомендуется создавать (определить) отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю, к задачам которого относятся:

1) общая координация процессов управления рисками;

2) разработка методологических документов в области обеспечения процесса управления рисками;

3) организация обучения работников общества в области управления рисками и внутреннего контроля;

4) анализ портфеля рисков общества и выработка предложений по стратегии реагирования и перераспределению ресурсов в отношении управления соответствующими рисками;

5) формирование сводной отчетности по рискам;

6) осуществление оперативного контроля за процессом управления рисками подразделениями общества и в установленном порядке подконтрольными обществами;

7) подготовка и информирование совета директоров и исполнительных органов общества об эффективности процесса управления рисками, а также по иным вопросам, предусмотренным политикой в области управления рисками и внутреннего контроля.

5.1.3. Система управления рисками и внутреннего контроля в обществе должна обеспечивать объективное, справедливое и ясное представление о текущем состоянии и перспективах общества, целостность и прозрачность отчетности общества, разумность и приемлемость принимаемых обществом рисков.

259. Система управления рисками и внутреннего контроля позволяет обществу своевременно реагировать на возникающие риски и представляет собой совокупность организационных мер, методик, процедур, норм корпоративной культуры и действий, предпринимаемых обществом для достижения оптимального баланса между ростом стоимости общества, прибыльностью и рисками, для обеспечения финансовой устойчивости общества, эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, соблюдения законодательства, устава и внутренних документов общества, своевременной подготовки достоверной отчетности.

260. В рамках системы управления рисками и внутреннего контроля рекомендуется предусмотреть комплекс направленных на недопущение коррупции мер, снижающих репутационные риски и риски применения к обществу мер ответственности за подкуп должностных лиц. Обществу рекомендуется утвердить антикоррупционную политику общества, определяющую меры, направленные на формирование элементов корпоративной культуры, организационной структуры, правил и процедур, обеспечивающих недопущение коррупции.

261. В рамках системы управления рисками и внутреннего контроля общества рекомендуется организовать безопасный, конфиденциальный и доступный способ (горячую линию) информирования совета директоров (комитета совета директоров по аудиту) и подразделения внутреннего аудита о фактах нарушений законодательства, внутренних процедур, кодекса этики общества любым его работником и (или) любым членом органа управления или органа контроля за финансово-хозяйственной деятельностью общества.

По горячей линии в адрес совета директоров, подразделения внутреннего аудита могут поступать предложения по улучшению антикоррупционных процедур и иных процедур внутреннего контроля. Лицо, предоставившее соответствующую информацию, должно быть защищено от любых форм давления (в том числе от увольнения, преследования, любых форм дискриминации).

5.1.4. Совету директоров общества рекомендуется предпринимать необходимые меры для того, чтобы убедиться, что действующая в обществе система управления рисками и внутреннего контроля соответствует определенным советом директоров принципам и подходам к ее организации и эффективно функционирует.

262. Совету директоров не реже одного раза в год следует рассматривать вопросы организации, функционирования и эффективности системы управления рисками и внутреннего контроля и при необходимости давать рекомендации по ее улучшению. Сведения о результатах рассмотрения советом директоров вопросов эффективности системы управления рисками и внутреннего контроля предоставляются акционерам в составе годового отчета общества.

5.2. Для систематической независимой оценки надежности и эффективности системы управления рисками и внутреннего контроля и практики корпоративного управления общество должно организовывать проведение внутреннего аудита.

5.2.1. Организацию проведения внутреннего аудита рекомендуется осуществлять посредством создания отдельного структурного подразделения (подразделения внутреннего аудита) или с привлечением независимой внешней организации. Для обеспечения независимости подразделения внутреннего аудита его функциональная и административная подотчетность должны быть разграничены. Функционально подразделение внутреннего аудита рекомендуется подчинить совету директоров, а административно - непосредственно единоличному исполнительному органу общества.

263. Совету директоров общества рекомендуется определить наиболее оптимальный способ организации проведения внутреннего аудита - посредством создания отдельного структурного подразделения (подразделения внутреннего аудита) или с привлечением независимой внешней организации.

264. Предпочтительным способом организации проведения внутреннего аудита является создание подразделения внутреннего аудита.

265. При выборе внешней организации для выполнения функции внутреннего аудита общество должно убедиться в независимости и объективности, профессионализме и компетенции такой организации и ее персонала, вовлеченного во взаимодействие с обществом.

266. Обществу следует обеспечить независимость подразделения внутреннего аудита, что достигается путем разграничения функциональной и административной подотчетности.

267. Подразделение внутреннего аудита рекомендуется функционально подчинить совету директоров, что означает:

1) утверждение советом директоров (комитетом по аудиту) политики в области внутреннего аудита (положения о внутреннем аудите), определяющей цели, задачи и функции внутреннего аудита;

2) утверждение советом директоров (предварительное рассмотрение комитетом по аудиту) плана деятельности внутреннего аудита и бюджета подразделения внутреннего аудита;

3) получение советом директоров (комитетом по аудиту) информации о ходе выполнения плана деятельности и об осуществлении внутреннего аудита;

4) утверждение советом директоров (предварительное рассмотрение комитетом по аудиту) решений о назначении, освобождении от должности, а также определение вознаграждения руководителя подразделения внутреннего аудита;

5) рассмотрение советом директоров (комитетом по аудиту) существенных ограничений полномочий подразделения внутреннего аудита или иных ограничений, способных негативно повлиять на осуществление внутреннего аудита.

268. Подразделение внутреннего аудита рекомендуется административно подчинить единоличному исполнительному органу общества, что означает:

1) выделение необходимых средств в рамках утвержденного бюджета подразделения внутреннего аудита;

2) получение отчетов о деятельности подразделения внутреннего аудита;

3) оказание поддержки во взаимодействии с подразделениями общества;

4) администрирование политик и процедур деятельности подразделения внутреннего аудита.

5.2.2. При осуществлении внутреннего аудита рекомендуется проводить оценку эффективности системы внутреннего контроля и системы управления рисками, оценку корпоративного управления, а также применять общепринятые стандарты деятельности в области внутреннего аудита.

269. Оценка эффективности системы внутреннего контроля включает:

1) проведение анализа соответствия целей бизнес-процессов, проектов и структурных подразделений целям общества, проверку обеспечения надежности и целостности бизнес-процессов (деятельности) и информационных систем, в том числе надежности процедур противодействия противоправным действиям, злоупотреблениям и коррупции;

2) проверку обеспечения достоверности бухгалтерской (финансовой), статистической, управленческой и иной отчетности, определение того, насколько результаты деятельности бизнес-процессов и структурных подразделений общества соответствуют поставленным целям;

3) определение адекватности критериев, установленных исполнительными органами для анализа степени исполнения (достижения) поставленных целей;

4) выявление недостатков системы внутреннего контроля, которые не позволили (не позволяют) обществу достичь поставленных целей;

5) оценку результатов внедрения (реализации) мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля, реализуемых обществом на всех уровнях управления;

6) проверку эффективности и целесообразности использования ресурсов;

7) проверку обеспечения сохранности активов;

8) проверку соблюдения требований законодательства, устава и внутренних документов общества.

270. Оценка эффективности системы управления рисками включает:

1) проверку достаточности и зрелости элементов системы управления рисками для эффективного управления рисками (цели и задачи, инфраструктура, организация процессов, нормативно-методологическое обеспечение, взаимодействие структурных подразделений в рамках системы управления рисками, отчетность);

2) проверку полноты выявления и корректности оценки рисков руководством общества на всех уровнях его управления;

3) проверку эффективности контрольных процедур и иных мероприятий по управлению рисками, включая эффективность использования выделенных на эти цели ресурсов;

4) проведение анализа информации о реализовавшихся рисках (выявленных по результатам внутренних аудиторских проверок нарушениях, фактах недостижения поставленных целей, фактах судебных разбирательств).

271. Оценка корпоративного управления включает проверку:

1) соблюдения этических принципов и корпоративных ценностей общества;

2) порядка постановки целей общества, мониторинга и контроля их достижения;

3) уровня нормативного обеспечения и процедур информационного взаимодействия (в том числе по вопросам внутреннего контроля и управления рисками) на всех уровнях управления общества, включая взаимодействие с заинтересованными сторонами;

4) обеспечения прав акционеров, в том числе подконтрольных обществ, и эффективности взаимоотношений с заинтересованными сторонами;

5) процедур раскрытия информации о деятельности общества и подконтрольных ему обществ.

272. К задачам внутреннего аудита рекомендуется отнести:

1) содействие исполнительным органам общества и работникам общества в разработке и мониторинге исполнения процедур и мероприятий по совершенствованию системы управления рисками и внутреннего контроля, корпоративному управлению обществом;

2) координацию деятельности с внешним аудитором общества, а также лицами, оказывающими услуги по консультированию в области управления рисками, внутреннего контроля и корпоративного управления;

3) проведение в рамках установленного порядка внутреннего аудита подконтрольных обществ;

4) подготовку и предоставление совету директоров и исполнительным органам отчетов по результатам деятельности подразделения внутреннего аудита (в том числе включающих информацию о существенных рисках, недостатках, результатах и эффективности выполнения мероприятий по устранению выявленных недостатков, результатах выполнения плана деятельности внутреннего аудита, результатах оценки фактического состояния, надежности и эффективности системы управления рисками, внутреннего контроля и корпоративного управления);

5) проверку соблюдения членами исполнительных органов общества и его работниками положений законодательства и внутренних политик общества, касающихся инсайдерской информации и борьбы с коррупцией, соблюдения требований кодекса этики общества.

273. При организации внутреннего аудита рекомендуется применять общепринятые стандарты деятельности в области внутреннего аудита <1>.

--------------------------------

<1> В частности, Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов.