Приложение. Рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах. Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 "О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах"

Приложение
к письму Банка России
от 01.10.2020 N ИН-06-28/143

Рекомендации
по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах

Введение

Настоящие рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах (далее - Рекомендации) подготовлены в соответствии с законодательством Российской Федерации и основаны на принципах и положениях Кодекса корпоративного управления, рекомендованного ¹ Банком России к применению акционерными обществами, ценные бумаги которых допущены к организованным торгам (далее - Кодекс корпоративного управления).

Рекомендации подготовлены также с учетом положений следующих документов:

- ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство";

- ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска";

- ГОСТ Р 51897-2011 / Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения";

- ГОСТ Р 51901.7-2017 "Менеджмент риска. Руководство по внедрению ИСО 31000";

- Документ (концепция) Комитета спонсорских организаций Комиссии Трэдвэя (The Committee of Sponsoring Organizations of the Treadway Commission) COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.);

- Документ (концепция) COSO "Внутренний контроль. Интегрированная модель" (2013 г.);

- Стандарты управления рисками, разработанные Федерацией европейских ассоциаций риск-менеджеров (FERMA) (2002 г.);

- Международные основы профессиональной практики внутреннего аудита, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита);

- Методические указания по подготовке Положения о внутреннем аудите (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);

- Методические указания по подготовке Положения о системе управления рисками (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);

- Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 04.07.2014 N 249);

- Методические рекомендации по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации (утверждены приказом Росимущества от 03.09.2014 N 330);

- Методические рекомендации по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации (утверждены приказом Росимущества от 20.03.2014 N 86).

Законодательством Российской Федерации, органами регулирования и надзора (далее - регулирующие органы) в рамках отдельных направлений деятельности организации и (или) секторов экономики могут быть установлены отдельные требования к организации и осуществлению управления рисками, внутреннего контроля, внутреннего аудита. Организациям рекомендуется применять настоящие Рекомендации с учетом специального регулирования в части, не противоречащей требованиям такого регулирования. В случае изменения законодательства Российской Федерации и (или) требований специального регулирования настоящие Рекомендации применяются в части, не противоречащей требованиям законодательства Российской Федерации и (или) специального регулирования.

Настоящие Рекомендации, в первую очередь, разработаны для использования в качестве методического материала публичными акционерными обществами (далее также - организация, Общество), но могут быть использованы любыми организациями, заинтересованными в эффективной организации и осуществлении управления рисками, внутреннего контроля, внутреннего аудита, а также в целях повышения эффективности реализации советом директоров (наблюдательным советом) ² стратегических и контрольных функций. Рекомендации содержат базовые принципы и подходы к организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров по аудиту (далее - комитет по аудиту), которые могут быть использованы организациями с учетом масштаба и специфики деятельности, реализуемых корпоративных практик и бизнес-процессов. Для определения подхода к внедрению настоящих Рекомендаций Общество может оценить реализуемые им практики организации управления рисками, внутреннего контроля, внутреннего аудита, ответив на вопросы, приведенные в Приложении 1 к настоящим Рекомендациям.

Глоссарий

В настоящих Рекомендациях используются следующие термины и определения:

Риск - влияние ³ неопределенности на достижение поставленных целей Общества.

Риск-аппетит ⁴ (приемлемая величина риска) - виды и величина рисков в широком смысле, которые Общество готово принять в процессе реализации своих целей.

Система управления рисками и внутреннего контроля (СУРиВК) ⁵ - совокупность организационных мер, методик, процедур, норм корпоративной культуры и действий, предпринимаемых Обществом для достижения оптимального баланса между ростом стоимости Общества, прибыльностью и рисками, для обеспечения финансовой устойчивости Общества, эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, соблюдения законодательства, устава и внутренних документов Общества, своевременной подготовки достоверной отчетности.

Внутренний контроль - процесс, осуществляемый советом директоров, исполнительными органами и работниками Общества на всех уровнях управления и направленный на получение разумной уверенности в том, что Общество обеспечивает:

- эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;

- достоверность, полноту и своевременность бухгалтерской (финансовой) и иной отчетности;

- соблюдение применимого законодательства и нормативных актов, а также внутренних нормативных документов Общества.

Управление рисками ⁶ - любые процессы, политики, устройства, практики или иные условия или действия, которые направлены на изменение риска.

Портфель рисков - агрегированная информация о распределении всей совокупности рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.

Профиль рисков - агрегированная информация о распределении отдельной категории (вида, типа и т.д.) рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.

------------------------------

¹Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления".

² Далее по тексту используется термин "совет директоров".

³ В соответствии с ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство" под влиянием понимается как положительное, так и отрицательное отклонение от того, что ожидается.

⁴ Определение "риск-аппетита" приведено с учетом положений Кодекса корпоративного управления, подхода, изложенного в Концепции Комитета спонсорских организаций Комиссии Трэдвэя COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.).

⁵Пункт 259 Кодекса корпоративного управления.

⁶ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство".

7 Пункт 2 статьи 87.1 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" вступает в силу с 01.01.2021.

⁸Принципы 5.1, 5.1.3 Кодекса корпоративного управления.

⁹Пункт 253 Кодекса корпоративного управления.

¹⁰Пункт 252 Кодекса корпоративного управления.

¹¹ The HA'S# three lines model (An update of the three lines of defense) (2020).

¹² Согласно пункту 252 Кодекса корпоративного управления при создании системы управления рисками и внутреннего контроля рекомендуется применять общепринятые концепции и практики работы в области управления рисками и внутреннего контроля.

¹³ Компоненту "Корпоративное управление и культура" соответствуют элементы структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Лидерство и приверженность", "Проектирование и разработка".

¹⁴ Компоненту "Стратегия и постановка целей" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Адаптация".

¹⁵ Компоненту "Эффективность деятельности" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Внедрение".

¹⁶ Компоненту "Анализ и пересмотр" соответствуют элементы структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Оценка эффективности" и "Улучшение".

¹⁷ Компоненту "Информация, коммуникация и отчетность" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Проектирование и разработка".

¹⁸Пункт 252 Кодекса корпоративного управления.

¹⁹ Наличие необходимых профильных знаний, профессионального опыта, соответствие требованиям профессиональных стандартов, утвержденных Министерством труда и социальной защиты Российской Федерации, а также иным требованиям, установленным законодательством Российской Федерации для замещения соответствующих должностей в зависимости от вида деятельности, осуществляемого Обществом.

²⁰ Под политикой в области управления рисками и внутреннего контроля понимается верхнеуровневый документ в области управления рисками и внутреннего контроля. Наименование документа определяется Обществом по его усмотрению с учетом подхода Общества к организации СУРиВК.

²¹Пункт 254 Кодекса корпоративного управления.

²²Пункт 255 Кодекса корпоративного управления.

²³ См. главу 3 настоящих Рекомендаций.

²⁴ Информационное письмо Банка России от 15.09.2016 N ИН-015-52/66 "О положениях о совете директоров и о комитетах совета директоров публичного акционерного общества".

²⁵Пункт 197 Кодекса корпоративного управления.

²⁶ Применимо в случае, если Общество реализует практику ведения реестра рисков. В любом случае исполнительным органам Общества рекомендуется осуществлять проактивный анализ рисков при принятии решений в процессе управления деятельностью Общества.

²⁷ Согласно пункту 258 Кодекса корпоративного управления для эффективного функционирования СУРиВК рекомендуется создавать (определить) отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю.

²⁸ В целях применения настоящих Рекомендаций под комплаенс-контролем понимается контроль за соблюдением Обществом законодательства Российской Федерации, общепризнанных принципов и норм международного права и международных договоров Российской Федерации, иных требований, обязательных для исполнения Обществом (в том числе стандартов саморегулируемых организаций, кодексов поведения профессиональных объединений), а также внутренних документов Общества.

²⁹ Акционеры, инвесторы, клиенты, кредиторы, вкладчики, контрагенты и иные заинтересованные лица.

³⁰ Например, "для общества приоритетны принятые на себя обязательства по защите окружающей среды. Общество допускает отказ от каналов сбыта, негативно влияющих на их соблюдение".

³¹ Например, "несчастные случаи по вине работодателя со смертельным исходом на производственных площадках неприемлемы для всех дивизионов общества".

³² Например, "допускается снижение запланированного годового показателя EBITDA не более 1%".

³³ Уровень существенности проекта определяется Обществом самостоятельно в зависимости от масштаба и вида деятельности.

³⁴Принцип 5.1.4 Кодекса корпоративного управления.

³⁵Пункт 262 Кодекса корпоративного управления.

³⁶ Под экспертом подразумевается организация или индивидуальный предприниматель, оказывающие подобные услуги.

³⁷ Миссия внутреннего аудита (источник: Международные основы профессиональной практики внутреннего аудита, разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors)).

³⁸ Определение и цели внутреннего аудита (источник: Международные основы профессиональной практики внутреннего аудита, разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors).

³⁹ См. введение к настоящим Рекомендациям.

⁴⁰ С учетом требований законодательства Российской Федерации (при наличии таковых).

⁴¹Пункт 265 Кодекса корпоративного управления.

⁴² Полномочия совета директоров в области внутреннего аудита рекомендуется определить в уставе Общества в соответствии с настоящими Рекомендациями.

⁴³ Если иная периодичность не установлена в законодательстве Российской Федерации.

⁴⁴ Для инвентаризации, осмотра, проверки наличия, работоспособности, оценки их стоимости и иных мероприятий, связанных с осуществлением внутреннего аудита.

⁴⁵ Утвержден приказом Министерства труда и социальной защиты Российской Федерации от 24.06.2015 N 398н.

⁴⁶ См. далее п. 3.5 настоящих Рекомендаций.

⁴⁷ Описание способа реализации контрольной процедуры.

⁴⁸ Требования к форме, а также периодичности составления указанного отчета могут быть установлены в рамках специального законодательства, регулирующего деятельность Общества.

⁴⁹ Например, в случае обнаружения индикаторов мошенничества, признаков заинтересованности лиц из исполнительного руководства, конфликта интересов.

⁵⁰ Заключение на "микроуровне".

⁵¹ Заключение на "макроуровне" или заключение внутреннего аудита.

⁵² См. далее п. 3.5 настоящих Рекомендаций.

⁵³Статья 4 Федерального закона от 30.12.2008 N 307-ФЗ "Об аудиторской деятельности".

⁵⁴ Например, подразделения управления рисками, комплаенс-контроля, охраны труда и промышленной безопасности, информационной безопасности, бухгалтерского учета и отчетности и др.

⁵⁵ Формирование порядка взаимодействия со структурными подразделениями Общества также могут инициировать и координировать другие субъекты СУРиВК (включая подразделения управления рисками и внутреннего контроля, владельцев бизнес-процессов, владельцев рисков).

⁵⁶ Рекомендуется применять разработанное Международным институтом внутренних аудиторов Руководство по оценке качества внутреннего аудита.

⁵⁷ https://global.theiia.org/translations/Pages/Russian-Translations.aspx.

⁵⁸ Допускается в исключительных случаях с учетом положений, определенных в настоящих Рекомендациях.

⁵⁹ Под внешним экспертом подразумевается организация или индивидуальный предприниматель, оказывающие подобные услуги.

⁶⁰ Рекомендуется принимать во внимание Международные профессиональные стандарты внутреннего аудита, а также разработанные Международным институтом внутренних аудиторов практические указания (Practice Advisories) 1312-1,1312-2, 1312-4 относительно проведения внешней оценки.

⁶¹ В случаях, когда для выполнения указанной функции не создан специальный комитет совета директоров по корпоративному управлению.

⁶²Пункт 172 Кодекса корпоративного управления.

⁶³ Под термином "внешний аудит" ("аудит") в целях настоящих рекомендаций понимается аудит либо иная, проводимая аудиторской организацией в силу требований законодательства Российской Федерации проверка, вид и порядок проведения которой устанавливаются стандартами аудиторской деятельности.

⁶⁴ Под термином "внешний аудитор" ("аудитор") в целях настоящих рекомендаций понимается аудиторская организация, проводящая аудит бухгалтерской (финансовой) отчетности Общества, аудиторские организации, проводящие аудит компонентов консолидированной финансовой отчетности Общества, участники аудиторских групп, аудиторские организации, входящие в одну сеть (группу) с аудитором Общества.

⁶⁵ Согласно Правилам независимости аудиторов и аудиторских организаций, одобренным Советом по аудиторской деятельности 19 декабря 2019 г., независимость аудитора подразумевает:

а) независимость мышления, то есть такой образ мышления, который позволяет аудитору выразить мнение, не зависящее от влияния факторов, способных скомпрометировать профессиональное суждение аудитора, и действовать честно, проявлять объективность и профессиональный скептицизм;

б) независимость поведения, то есть такое поведение, которое позволяет избежать фактов и обстоятельств, настолько значимых, что разумная и хорошо информированная третья сторона, взвесив все факты и обстоятельства, может обоснованно посчитать, что честность, объективность или профессиональный скептицизм аудитора были скомпрометированы.

⁶⁶ Конфликт интересов - ситуация, при которой заинтересованность внешнего аудитора может повлиять на его мнение о достоверности бухгалтерской (финансовой) отчетности Общества. Случаи возникновения у внешнего аудитора заинтересованности, которая приводит или может привести к конфликту интересов, а также меры по предотвращению или урегулированию конфликта интересов установлены Кодексом профессиональной этики аудиторов, одобренным Советом по аудиторской деятельности 21 мая 2019 года.

⁶⁷Статья 16 Федерального закона от 30.12.2008 N 307-ФЗ "Об аудиторской деятельности".

⁶⁸Информационное письмо Банка России от 15.09.2016 N ИН-015-52/66 "О положениях о совете директоров и о комитетах совета директоров публичного акционерного общества".

⁶⁹Принципы 2.8.1, 2.8.5, пункты 173, 174, 197 Кодекса корпоративного управления.

⁷⁰Принцип 2.4.1, пункты 101 - 107 Кодекса корпоративного управления.

⁷¹ В соответствии с принципом 2.8.1 Кодекса корпоративного управления рекомендуется создавать комитет по аудиту, состоящий из независимых директоров.

⁷²Пункт 201 Кодекса корпоративного управления.

⁷³Пункт 294 Кодекса корпоративного управления.

⁷⁴Принцип 2.9 Кодекса корпоративного управления; Информационное письмо Банка России от 26.04.2019 N ИН-06-28/41 "О рекомендациях по организации и проведению самооценки эффективности совета директоров (наблюдательного совета) в публичных акционерных обществах".

⁷⁵ Приведенный перечень является примерным.