Приложение. Рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах. Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 "О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах"

Приложение
к письму Банка России
от 01.10.2020 N ИН-06-28/143

Рекомендации
по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах

Введение

Настоящие рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах (далее - Рекомендации) подготовлены в соответствии с законодательством Российской Федерации и основаны на принципах и положениях Кодекса корпоративного управления, рекомендованного ¹ Банком России к применению акционерными обществами, ценные бумаги которых допущены к организованным торгам (далее - Кодекс корпоративного управления).

Рекомендации подготовлены также с учетом положений следующих документов:

- ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство";

- ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска";

- ГОСТ Р 51897-2011 / Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения";

- ГОСТ Р 51901.7-2017 "Менеджмент риска. Руководство по внедрению ИСО 31000";

- Документ (концепция) Комитета спонсорских организаций Комиссии Трэдвэя (The Committee of Sponsoring Organizations of the Treadway Commission) COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.);

- Документ (концепция) COSO "Внутренний контроль. Интегрированная модель" (2013 г.);

- Стандарты управления рисками, разработанные Федерацией европейских ассоциаций риск-менеджеров (FERMA) (2002 г.);

- Международные основы профессиональной практики внутреннего аудита, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита);

- Методические указания по подготовке Положения о внутреннем аудите (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);

- Методические указания по подготовке Положения о системе управления рисками (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);

- Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 04.07.2014 N 249);

- Методические рекомендации по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации (утверждены приказом Росимущества от 03.09.2014 N 330);

- Методические рекомендации по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации (утверждены приказом Росимущества от 20.03.2014 N 86).

Законодательством Российской Федерации, органами регулирования и надзора (далее - регулирующие органы) в рамках отдельных направлений деятельности организации и (или) секторов экономики могут быть установлены отдельные требования к организации и осуществлению управления рисками, внутреннего контроля, внутреннего аудита. Организациям рекомендуется применять настоящие Рекомендации с учетом специального регулирования в части, не противоречащей требованиям такого регулирования. В случае изменения законодательства Российской Федерации и (или) требований специального регулирования настоящие Рекомендации применяются в части, не противоречащей требованиям законодательства Российской Федерации и (или) специального регулирования.

Настоящие Рекомендации, в первую очередь, разработаны для использования в качестве методического материала публичными акционерными обществами (далее также - организация, Общество), но могут быть использованы любыми организациями, заинтересованными в эффективной организации и осуществлении управления рисками, внутреннего контроля, внутреннего аудита, а также в целях повышения эффективности реализации советом директоров (наблюдательным советом) ² стратегических и контрольных функций. Рекомендации содержат базовые принципы и подходы к организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров по аудиту (далее - комитет по аудиту), которые могут быть использованы организациями с учетом масштаба и специфики деятельности, реализуемых корпоративных практик и бизнес-процессов. Для определения подхода к внедрению настоящих Рекомендаций Общество может оценить реализуемые им практики организации управления рисками, внутреннего контроля, внутреннего аудита, ответив на вопросы, приведенные в Приложении 1 к настоящим Рекомендациям.

Глоссарий

В настоящих Рекомендациях используются следующие термины и определения:

Риск - влияние ³ неопределенности на достижение поставленных целей Общества.

Риск-аппетит ⁴ (приемлемая величина риска) - виды и величина рисков в широком смысле, которые Общество готово принять в процессе реализации своих целей.

Система управления рисками и внутреннего контроля (СУРиВК) ⁵ - совокупность организационных мер, методик, процедур, норм корпоративной культуры и действий, предпринимаемых Обществом для достижения оптимального баланса между ростом стоимости Общества, прибыльностью и рисками, для обеспечения финансовой устойчивости Общества, эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, соблюдения законодательства, устава и внутренних документов Общества, своевременной подготовки достоверной отчетности.

Внутренний контроль - процесс, осуществляемый советом директоров, исполнительными органами и работниками Общества на всех уровнях управления и направленный на получение разумной уверенности в том, что Общество обеспечивает:

- эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;

- достоверность, полноту и своевременность бухгалтерской (финансовой) и иной отчетности;

- соблюдение применимого законодательства и нормативных актов, а также внутренних нормативных документов Общества.

Управление рисками ⁶ - любые процессы, политики, устройства, практики или иные условия или действия, которые направлены на изменение риска.

Портфель рисков - агрегированная информация о распределении всей совокупности рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.

Профиль рисков - агрегированная информация о распределении отдельной категории (вида, типа и т.д.) рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.

------------------------------

¹Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления".

² Далее по тексту используется термин "совет директоров".

³ В соответствии с ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство" под влиянием понимается как положительное, так и отрицательное отклонение от того, что ожидается.

⁴ Определение "риск-аппетита" приведено с учетом положений Кодекса корпоративного управления, подхода, изложенного в Концепции Комитета спонсорских организаций Комиссии Трэдвэя COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.).

⁵Пункт 259 Кодекса корпоративного управления.

⁶ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство".

7 Пункт 2 статьи 87.1 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" вступает в силу с 01.01.2021.

⁸Принципы 5.1, 5.1.3 Кодекса корпоративного управления.

⁹Пункт 253 Кодекса корпоративного управления.

¹⁰Пункт 252 Кодекса корпоративного управления.

¹¹ The HA'S# three lines model (An update of the three lines of defense) (2020).

¹² Согласно пункту 252 Кодекса корпоративного управления при создании системы управления рисками и внутреннего контроля рекомендуется применять общепринятые концепции и практики работы в области управления рисками и внутреннего контроля.

¹³ Компоненту "Корпоративное управление и культура" соответствуют элементы структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Лидерство и приверженность", "Проектирование и разработка".

¹⁴ Компоненту "Стратегия и постановка целей" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Адаптация".

¹⁵ Компоненту "Эффективность деятельности" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Внедрение".

¹⁶ Компоненту "Анализ и пересмотр" соответствуют элементы структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Оценка эффективности" и "Улучшение".

¹⁷ Компоненту "Информация, коммуникация и отчетность" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Проектирование и разработка".

¹⁸Пункт 252 Кодекса корпоративного управления.

¹⁹ Наличие необходимых профильных знаний, профессионального опыта, соответствие требованиям профессиональных стандартов, утвержденных Министерством труда и социальной защиты Российской Федерации, а также иным требованиям, установленным законодательством Российской Федерации для замещения соответствующих должностей в зависимости от вида деятельности, осуществляемого Обществом.

²⁰ Под политикой в области управления рисками и внутреннего контроля понимается верхнеуровневый документ в области управления рисками и внутреннего контроля. Наименование документа определяется Обществом по его усмотрению с учетом подхода Общества к организации СУРиВК.

²¹Пункт 254 Кодекса корпоративного управления.

²²Пункт 255 Кодекса корпоративного управления.

²³ См. главу 3 настоящих Рекомендаций.

²⁴ Информационное письмо Банка России от 15.09.2016 N ИН-015-52/66 "О положениях о совете директоров и о комитетах совета директоров публичного акционерного общества".

²⁵Пункт 197 Кодекса корпоративного управления.

²⁶ Применимо в случае, если Общество реализует практику ведения реестра рисков. В любом случае исполнительным органам Общества рекомендуется осуществлять проактивный анализ рисков при принятии решений в процессе управления деятельностью Общества.

²⁷ Согласно пункту 258 Кодекса корпоративного управления для эффективного функционирования СУРиВК рекомендуется создавать (определить) отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю.

²⁸ В целях применения настоящих Рекомендаций под комплаенс-контролем понимается контроль за соблюдением Обществом законодательства Российской Федерации, общепризнанных принципов и норм международного права и международных договоров Российской Федерации, иных требований, обязательных для исполнения Обществом (в том числе стандартов саморегулируемых организаций, кодексов поведения профессиональных объединений), а также внутренних документов Общества.

²⁹ Акционеры, инвесторы, клиенты, кредиторы, вкладчики, контрагенты и иные заинтересованные лица.

³⁰ Например, "для общества приоритетны принятые на себя обязательства по защите окружающей среды. Общество допускает отказ от каналов сбыта, негативно влияющих на их соблюдение".

³¹ Например, "несчастные случаи по вине работодателя со смертельным исходом на производственных площадках неприемлемы для всех дивизионов общества".

³² Например, "допускается снижение запланированного годового показателя EBITDA не более 1%".

³³ Уровень существенности проекта определяется Обществом самостоятельно в зависимости от масштаба и вида деятельности.

³⁴Принцип 5.1.4 Кодекса корпоративного управления.

³⁵Пункт 262 Кодекса корпоративного управления.

³⁶ Под экспертом подразумевается организация или индивидуальный предприниматель, оказывающие подобные услуги.

³⁷ Миссия внутреннего аудита (источник: Международные основы профессиональной практики внутреннего аудита, разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors)).

³⁸ Определение и цели внутреннего аудита (источник: Международные основы профессиональной практики внутреннего аудита, разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors).

³⁹ См. введение к настоящим Рекомендациям.

⁴⁰ С учетом требований законодательства Российской Федерации (при наличии таковых).

⁴¹Пункт 265 Кодекса корпоративного управления.

⁴² Полномочия совета директ