Система контроля
В Компании функционирует система внутреннего контроля, которая охватывает ключевые бизнес-процессы и все уровни управления Группы. Выделяют следующие органы контроля:
- Блок внутреннего контроля и риск-менеджмента, в который входят Департамент внутреннего контроля, Служба по финансовому контролю, Служба риск-менеджмента, и Инспекция по мониторингу технико-производственных и экологических рисков;
- Ревизионная комиссия;
- Комитет по аудиту и устойчивому развитию;
- Департамент внутреннего аудита.
Департамент внутреннего контроля проводит регулярный мониторинг надежности действующих в Компании систем учета металлосодержащих продуктов; бизнес-процессов с высоким уровнем риска: закупочной и инвестиционной деятельности; сделок по капитальному строительству и корпоративному страхованию. Также осуществляется непрерывный контроль соблюдения нормативных требований в области противодействия неправомерному использованию инсайдерской информации, а также противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
В рамках проведения самооценки системы внутреннего контроля и аудита финансовой отчетности ежегодно осуществляется оценка эффективности и уровня зрелости элементов системы внутреннего контроля. Отчеты с результатами оценки эффективности системы внутреннего контроля рассматриваются руководителями Компании и Комитетом по аудиту и устойчивому развитию при Совете директоров Компании.
Служба по финансовому контролю осуществляет проверки финансово-хозяйственной деятельности Компании и ее дочерних обществ в целях информирования и подготовки рекомендаций Президенту и членам Совета директоров Компании. Руководители Службы по финансовому контролю назначаются решением Совета директоров Компании.
В рамках Департамента внутреннего контроля в Компании функционирует Служба корпоративного доверия, целью которой является оперативное реагирование на информацию о нарушениях, злоупотреблениях и хищениях. Сотрудники, акционеры и иные заинтересованные лица могут направить обращение о совершении действий, которые наносят или могут нанести материальный ущерб или вред деловой репутации Компании. Основными принципами в работе Службы корпоративного доверия являются сохранение анонимности заявителя и своевременное и объективное рассмотрение всех поступивших обращений. Компания ни в коем случае не подвергает сотрудника, обратившегося в Службу корпоративного доверия, санкциям (увольнению, лишению премии, понижению в должности и т. д.).
Оставить обращение можно по бесплатным телефонам:
Показатель | 2018 | 2019 | 2020 |
---|---|---|---|
Общее количество обращений | 961 | 1 181 | 1 037 |
Общее количество обращений, по которым инициирована проверка | 394 | 481 | 451 |
Доля обращений, поступивших с сообщением на тему «Коррупционные действия» | 1,5% (6 шт., из них 0 обоснованных) | 0,2% (1 шт., из них 1 обоснованное) | 0% (0 шт.) |
Основной целью внутреннего аудита является содействие Совету директоров и топ-менеджменту в повышении эффективности управления Компанией, совершенствовании ее финансово-хозяйственной деятельности путем системного и последовательного подхода к анализу и оценке СУРиВК как инструментов обеспечения разумной уверенности в достижении поставленных перед Компанией целей.
В целях обеспечения независимости и объективности Департамент внутреннего аудита функционально подотчетен Совету директоров через Комитет по аудиту и устойчивому развитию и находится в административном подчинении Президенту Компании.
Департамент внутреннего аудита проводит объективные и независимые проверки, в ходе которых оценивает эффективность системы внутреннего контроля и системы управления рисками. На основе проведенных проверок готовятся отчеты и предложения руководству по совершенствованию процедур внутреннего контроля, осуществляется контроль за разработкой планов мероприятий по устранению нарушений.
Результаты 2020 года
- Выполнено 19 аудитов в следующих областях: управление производством, управление ИТ-активами, деятельность российских организаций корпоративной структуры, процессы корпоративного управления.
- Проведена годовая оценка эффективности корпоративной системы управления рисками и системы внутреннего контроля Компании. Итогом оценки является вывод, что корпоративная система управления рисками и система внутреннего контроля Компании в целом функционируют эффективно, имеются отдельные замечания. Результаты оценки рассмотрены на заседании Комитета по аудиту и устойчивому развитию и заседании Совета директоров Компании.
По рекомендациям, выданным в ходе проверок, менеджментом были разработаны корректирующие мероприятия. В 2020 году менеджментом проведено 322 мероприятия. Мероприятия включают обновление нормативных документов, разработку новых либо изменение действующих контрольных процедур, информирование и обучение персонала, идентификацию и оценку рисков. Департамент внутреннего аудита осуществляет непрерывный мониторинг выполнения мероприятий, разработанных менеджментом. Аналитическая информация о видах и количестве мероприятий регулярно рассматривается на заседаниях Комитета по аудиту и устойчивому развитию.
Цифровизация внутреннего аудита
В 2020 году Департамент внутреннего аудита приступил к промышленной эксплуатации информационной системы SAP Audit Management. Успешное внедрение системы позволило:
- создать инструмент автоматизации типовых процедур планирования, проведения аудита, подготовки отчета по результатам, фиксирования и мониторинга исполнения рекомендаций, подготовки аналитической и статистической отчетности;
- создать единую точку доступа к данным Департамента внутреннего аудита, обеспечить удобное хранение документации и оперативный контроль за выполнением аудитов, повысить прозрачность работы внутреннего аудита за счет единой среды работы;
- обеспечить ведение информационных баз данных о контроле и рисках для внутреннего аудита.
В 2020 году начата подготовка к тиражу системы SAP Audit Management в подразделениях внутреннего аудита российских организаций корпоративной структуры и филиалов Компании. Внедрение запланировано на 2021 год.
Департамент внутреннего аудита уделяет большое внимание расширению практики использования инструментов дата-аналитики при проведении аудиторских проверок. В 2020 году, кроме аудитов в области информационных технологий, с помощью цифровых методов обработки данных сотрудниками Департамента внутреннего аудита были проведены проверки процесса закупок и оказания транспортных услуг.
Компания обеспечивает соблюдение требований антикоррупционного законодательства России и других стран, на территории которых она осуществляет свою деятельность, применимых норм международного права, а также положений внутренних документов. Это способствует укреплению репутации «Норникеля» и повышает доверие к нему со стороны акционеров, инвесторов, бизнес-партнеров и других заинтересованных сторон.
Компания открыто заявляет о неприятии коррупции в любых формах и проявлениях. Члены Совета директоров / Правления и топ-менеджмент Компании задают этический стандарт непримиримого отношения к любым формам и проявлениям коррупции на всех уровнях, подавая пример своим поведением. Компания не осуществляет платежи за упрощение формальностей и не финансирует политические партии в целях получения или сохранения преимущества в коммерческой деятельности. Также Компания гарантирует, что сотрудник не будет подвергнут дисциплинарным взысканиям и другим санкциям, если он сообщил о предполагаемом факте коррупции или отказался дать взятку, совершить коммерческий подкуп, оказать посредничество во взяточничестве либо иное коррупционное правонарушение, даже если в результате такого отказа у Компании возникла в том числе упущенная выгода или не были получены коммерческие и конкурентные преимущества.
В Компании действует Политика в области антикоррупционной деятельности. Данная политика является базовым документом в сфере противодействия коррупции и определяет основные задачи, принципы и направления антикоррупционной деятельности.
В рамках реализации антикоррупционных мероприятий в Компании разработаны и утверждены следующие основные документы в области противодействия коррупции:
- Кодекс деловой этики ПАО «ГМК «Норильский никель»;
- Кодекс корпоративного поведения и деловой этики членов Совета директоров;
- Положение о порядке подготовки и проведения закупок продукции для предприятий Группы;
- Типовое антикоррупционное соглашение — приложение к трудовому договору с сотрудниками;
- Положение «Обеспечение информационной безопасности»;
- Положение о предотвращении и урегулировании конфликта интересов;
- Положение об обмене деловыми подарками;
- Регламент проведения антикоррупционной экспертизы внутренних документов в Главном офисе ПАО «ГМК «Норильский никель»;
- Положение о Комиссии по урегулированию конфликта интересов;
- Положение об информационной политике.
В рамках присоединения к Антикоррупционной хартии российского бизнеса Компания реализует комплекс специальных антикоррупционных мероприятий, основанных на хартии и закрепленных в Антикоррупционной политике Компании. Декларация о соблюдении положений Антикоррупционной хартии российского бизнеса, представленная в Российском союзе промышленников и предпринимателей в январе 2020 года, получила свое подтверждение — участие в хартии продлено до 2021 года.
Компания на регулярной основе информирует своих сотрудников по вопросам профилактики и противодействия коррупции. Начиная с 2015 года все сотрудники Компании подписывают соглашение, закрепляющее их обязательства в области противодействия коррупции. Антикоррупционная политика Компании, а также документы, изданные в целях ее развития, доводятся до сведения всех работников Компании при приеме на работу. В Группе компаний «Норильский никель» на постоянной основе проводится обучение сотрудников, включая вводный инструктаж по вопросам противодействия коррупции для вновь принимаемых сотрудников, периодическое обучение по дистанционному курсу «Противодействие коррупции», а также индивидуальное консультирование сотрудников по вопросам соблюдения антикоррупционных требований.
На внутреннем портале Компании организована постоянная работа раздела «Предупреждение и противодействие коррупции». В данном разделе размещается информация о принятых в Компании документах, направленных на борьбу с коррупцией, о проводимых мероприятиях по противодействию коррупции, ее профилактике, правовому просвещению и формированию основ законопослушного поведения сотрудников.
Управление системой корпоративной защиты в «Норникеле» основано на комплексе программ по обеспечению экономической, корпоративной, информационной, объектовой, транспортной безопасности, а также прозрачности в сфере закупок и выбора контрагентов. Особое внимание уделяется сопровождению социально значимых инвестиционных и экологических проектов Компании.
Компания продолжает взаимодействие с Межрегиональным научно-исследовательским институтом ООН по вопросам преступности и правосудия (UNICRI) и Управлением ООН по наркотикам и преступности (UNODC), в том числе по вопросам реализации положений Резолюции Экономического и социального совета ООН 2019/23 по борьбе с транснациональной организованной преступностью, незаконным оборотом драгоценных металлов и незаконной добычей полезных ископаемых.
Представитель «Норникеля» является сопредседателем Комитета безопасности Международной ассоциации металлов платиновой группы. Комитет по безопасности координирует деятельность членов в вопросах обеспечения безопасности и борьбы с незаконным оборотом металлов платиновой группы. Международная ассоциация металлов платиновой группы — единственная международная отраслевая ассоциация, объединяющая крупнейших производителей и переработчиков МПГ.
Компания взаимодействует с правоохранительными и контрольно-надзорными органами. Представители «Норникеля» входят в состав общественных и научно-консультативных советов МВД, Следственного комитета, Транспортной прокуратуры, ФСБ России, а также межведомственных рабочих групп.
В 2020 году проведено 127 тренировок, а также 65 учений и 12 тактико-специальных учений совместно с ФСБ, МВД и МЧС России.
Принцип соблюдения прав человека зафиксирован в нормативных документах Блока корпоративной защиты (Положение об организации борьбы с хищениями материальных ценностей в ПАО «ГМК «Норильский никель», Регламент проведения служебных расследований в ПАО «ГМК «Норильский никель» и др.).
Переход персонала на удаленный режим работы
Пандемия COVID-19 затронула практически все отрасли отечественной и мировой экономики, не исключая сферу информационной безопасности. В целях снижения потенциальных рисков для жизни сотрудников Компании и недопущения влияния последствий пандемии на производственные процессы руководство «Норникеля» приняло решение о переводе значительной части персонала на удаленный режим работы. Наряду с задачей массового обеспечения сотрудников необходимой техникой для работы из дома, были приняты дополнительные меры по усилению информационной безопасности корпоративных ресурсов и инфраструктуры. Были усилены требования и контроль безопасности удаленных компьютеров и устройств, задействуемых при проведении аудио- и видеоконференций. Ведется ежедневный мониторинг удаленной работы, актуализируются памятки и наставления пользователям.
Реализация программ информационной безопасности
Несмотря на ограничения, вызванные пандемией, продолжается реализация запланированных мероприятий и программ по защите корпоративных информационных систем и автоматизированных систем управления технологическими процессами (далее — АСУТП) в Главном офисе и в регионах присутствия Компании. Ведется работа по сопровождению проектов программы ИТ-инициатив, выполняются проекты по внедрению средств защиты для реализации целевой архитектуры информационной безопасности.
В Компании утверждены Стандарты информационной безопасности, в среднесрочной перспективе запланированы работы по комплексному приведению всех информационных систем и АСУТП в соответствие этим стандартам.
Реализация корпоративных политик для сотрудников
Основные правила в данной сфере сведены в единый нормативный документ — Методические рекомендации по допустимому использованию информационных активов. Процедуры информационной безопасности, в которые вовлечены сотрудники Компании, в частности, включают:
- идентификацию и классификацию информационных активов;
- повышение осведомленности в области информационной безопасности;
- управление доступом к информационным активам;
- управление инцидентами информационной безопасности;
- экспертизу ИТ-проектов в части требований информационной безопасности.
Тренинги и обучение
Вопросы обучения и повышения осведомленности/квалификации сотрудников Компании (не только специализированных подразделений) в области информационной безопасности непосредственно сопряжены с реализацией общекорпоративной кадровой политики. При приеме на работу проводятся проверка знаний кандидатов и их дополнительное инструктирование. Разработан и утвержден Регламент повышения осведомленности в области информационной безопасности, действуют ежегодные планы обучения сотрудников, сформированные с учетом актуальных тенденций, вновь выявленных рисков и киберугроз. Обучение и проверку знаний проходят все сотрудники как Главного офиса Компании, так и предприятий, расположенных в регионах ее присутствия. Обучающие курсы проводятся на корпоративной платформе «Цифровая академия». Всего в 2020 году состоялось 47 тренингов в режиме видеоконференций, обучение прошли 7 тыс. сотрудников Компании.
Процесс информирования о подозрительных действиях
В целях повышения уровня корпоративной системы информационной безопасности периодически проводятся тренинги и учения, включающие в том числе имитации фишинговых атак и иных способов незаконного воздействия на корпоративные ИТ-инфраструктуры. По итогам тренингов актуализируются инструкции и наставления для сотрудников, информация также включается в ежеквартальный бюллетень, рассылаемый руководителям структурных подразделений Компании. Все внутренние документы, касающиеся вопросов информационной безопасности, содержат рекомендацию сотрудникам в случае обнаружения подозрительных активностей обращаться по имеющимся каналам связи в корпоративный Центр реагирования на инциденты информационной безопасности.
Система реагирования на киберинциденты
В Компании действует Центр реагирования на инциденты информационной безопасности, который в своей деятельности использует ряд передовых технических решений, а также лучшие отечественные и мировые практики управления процессами киберзащиты. Разработаны и документированы процессы и процедуры обеспечения непрерывности информационной безопасности в случае нештатных и чрезвычайных ситуаций. Актуальность разработанных процедур регулярно проверяется путем тестирования, проводимого не реже одного раза в квартал.
Исполнение требований регуляторов
В соответствии с требованиями Федерального закона от 26 июля 2017 года № 187-ФЗ в Группе проведены мероприятия по категорированию объектов критической информационной инфраструктуры (АСУТП) и сведения направлены в Федеральную службу по техническому и экспортному контролю. Выполнены работы по лицензированию деятельности Компании в части мониторинга событий информационной безопасности. Заключен ряд соглашений между Компанией и регулирующими государственными органами об информационном взаимодействии в части противодействия попыткам компьютерных атак на ресурсы и ИТ-инфраструктуру ведущих отечественных промышленных корпораций.
Усовершенствованы методология и нормативная база в области защиты персональных данных и коммерческой тайны, применяемые подходы распространяются в регионы присутствия Компании.
На предприятиях Группы последовательно внедряется и функционирует система управления информационной безопасностью (далее — СУИБ), распространяющаяся на процессы оперативного управления производством, обеспечения сырьем и технологическими материалами, а также контроля выполнения плановых показателей по производству и отгрузке готовой продукции. В 2020 году реализованы сертифицированные СУИБ, соответствующие требованиям стандарта ISO/IEC 27001:2013, на Надеждинском металлургическом заводе и Медном заводе (Заполярный филиал «Норникеля»). В течение года пройдено четыре аудита BSI (British Standards Institution) — ведущей международной организации в области стандартизации. Аудиторы признали высокую степень подготовки «Норникеля» и соответствие корпоративных СУИБ международным стандартам и лучшим мировым практикам.
Компания регулярно проходит внешние аудиты информационной безопасности на соответствие требованиям защиты персональных данных и защиты критической информационной инфраструктуры, требованиям международных стандартов в области управления процессами киберзащиты; тестирование и анализ уровня защищенности; контроль обеспечения информбезопасности в морском и речном судоходстве в рамках веттинг-инспекций и т. д.
Деятельность «Норникеля» по разработке и внедрению передовых решений в сфере киберзащиты промышленных активов неоднократно отмечалась профессиональным сообществом и отраслевыми общественными организациями.
Вовлеченность членов Совета директоров и топ-менеджмента Компании
В Компании действует Политика информационной безопасности, которая определяет участие и ответственность органов управления, включая Совет директоров и Правление Компании, в данной области. К их компетенции относятся в том числе вопросы организации системы управления рисками информационной безопасности, а также рассмотрение и утверждение бюджетов программ и проектов в данной сфере. Риски в сфере информационной безопасности входят в число приоритетов (топ-20) Корпоративной системы управления рисками. Вопросы состояния и перспективы развития киберзащиты промышленных активов, технологических процессов, транспортной и иной инфраструктуры «Норникеля» регулярно выносятся на заседания Комитета Совета директоров по аудиту и устойчивому развитию ПАО «ГМК «Норильский никель».
Участие в конференциях и форумах
Сотрудники Департамента защиты информации и ИТ-инфраструктуры приняли участие в восьмой международной конференции Kaspersky Industrial Cybersecurity Conference 2020 — одном из ведущих российских специализированных форумов, где представили свой опыт и наработки в области промышленной кибербезопасности и киберзащиты технологических процессов. Работа «Норникеля» и готовность представить свои решения в качестве модельных образцов для использования в практике ведущих российских компаний индустриального сектора были высоко оценены профессиональным сообществом. Представителям Компании был вручен памятный знак «За лидерство, открытость и ответственный подход к защите промышленных объектов».
За вклад в развитие Российской ассоциации профессионалов в области приватности сотрудники Департамента защиты информации стали лауреатом премии «Эксперт года в области приватности персональных данных».
Также сотрудники Департамента защиты информации и ИТ-инфраструктуры в течение 2020 года неоднократно выступали с докладами на таких мероприятиях, как международная конференция «ТБ Форум» (соорганизатор — Федеральная служба по техническому и экспортному контролю), VIII Конференция «Информационная безопасность АСУ ТП критически важных объектов» и др.
Выбор независимой аудиторской организации для осуществления аудита финансовой отчетности ПАО «ГМК «Норильский никель», проводится на конкурсной основе в соответствии с действующим в Компании порядком. Комитет по аудиту и устойчивому развитию при Совете директоров, рассмотрев результаты предварительного отбора, дает рекомендацию Совету директоров по кандидатуре аудитора для утверждения на годовом Общем собрании акционеров ПАО «ГМК «Норильский никель».
В 2020 году Общее собрание акционеров по рекомендации Совета директоров П
Общая сумма вознаграждения АО «КПМГ» в 2020 году составила 305,8 млн руб. (4,2 млн долл. США), без НДС, включая вознаграждение за аудиторские и неаудиторские услуги. При этом доля вознаграждения за неаудиторские услуги составила 45% от общей суммы вознаграждения.
Для предотвращения конфликта интересов в АО «КПМГ» действует определенная политика в отношении видов услуг, которые они оказывают аудируемым компаниям. Эта политика обеспечивает выполнение требований, установленных Комитетом по международным этическим стандартам для бухгалтеров (IESBA), российскими правилами независимости аудиторов и аудиторских организаций, а также иными применимыми требованиями.
Виды услуг | млн руб., без НДС | млн долл. США, без НДС |
---|---|---|
Аудиторские и сопутствующие аудиту услуги | 168,1 | 2,3 |
Неаудиторские услуги | 137,7 | 1,9 |
Итого вознаграждение аудитора | 305,8 | 4,2 |
Доля неаудиторских услуг | 45% |