См. Документы Центрального Банка Российской Федерации
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННОЕ ПИСЬМО
от 1 октября 2020 г. N ИН-06-28/143
О РЕКОМЕНДАЦИЯХ
ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ,
ВНУТРЕННЕГО АУДИТА, РАБОТЫ КОМИТЕТА СОВЕТА ДИРЕКТОРОВ
(НАБЛЮДАТЕЛЬНОГО СОВЕТА) ПО АУДИТУ В ПУБЛИЧНЫХ
АКЦИОНЕРНЫХ ОБЩЕСТВАХ
В целях организации управления рисками, внутреннего контроля, внутреннего аудита, а также совершенствования практики корпоративного управления в публичных акционерных обществах Банк России направляет для применения прилагаемые рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах, являющиеся приложением к настоящему информационному письму.
Настоящее информационное письмо подлежит опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Первый заместитель
Председателя Банка России
С.А.ШВЕЦОВ
Приложение
к письму Банка России
от 01.10.2020 N ИН-06-28/143
РЕКОМЕНДАЦИИ
ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ,
ВНУТРЕННЕГО АУДИТА, РАБОТЫ КОМИТЕТА СОВЕТА ДИРЕКТОРОВ
(НАБЛЮДАТЕЛЬНОГО СОВЕТА) ПО АУДИТУ В ПУБЛИЧНЫХ
АКЦИОНЕРНЫХ ОБЩЕСТВАХ
Введение
Настоящие рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах (далее - Рекомендации) подготовлены в соответствии с законодательством Российской Федерации и основаны на принципах и положениях Кодекса корпоративного управления, рекомендованного <1> Банком России к применению акционерными обществами, ценные бумаги которых допущены к организованным торгам (далее - Кодекс корпоративного управления).
--------------------------------
<1> Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления".
Рекомендации подготовлены также с учетом положений следующих документов:
- ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство";
- ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска";
- ГОСТ Р 51897-2011/Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения";
- ГОСТ Р 51901.7-2017 "Менеджмент риска. Руководство по внедрению ИСО 31000";
- Документ (концепция) Комитета спонсорских организаций Комиссии Трэдвэя (The Committee of Sponsoring Organizations of the Treadway Commission) COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.);
- Документ (концепция) COSO "Внутренний контроль. Интегрированная модель" (2013 г.);
- Стандарты управления рисками, разработанные Федерацией европейских ассоциаций риск-менеджеров (FERMA) (2002 г.);
- Международные основы профессиональной практики внутреннего аудита, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита);
- Методические указания по подготовке Положения о внутреннем аудите (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);
- Методические указания по подготовке Положения о системе управления рисками (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);
- Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 04.07.2014 N 249);
- Методические рекомендации по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации (утверждены приказом Росимущества от 03.09.2014 N 330);
- Методические рекомендации по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации (утверждены приказом Росимущества от 20.03.2014 N 86).
Законодательством Российской Федерации, органами регулирования и надзора (далее - регулирующие органы) в рамках отдельных направлений деятельности организации и (или) секторов экономики могут быть установлены отдельные требования к организации и осуществлению управления рисками, внутреннего контроля, внутреннего аудита. Организациям рекомендуется применять настоящие Рекомендации с учетом специального регулирования в части, не противоречащей требованиям такого регулирования. В случае изменения законодательства Российской Федерации и (или) требований специального регулирования настоящие Рекомендации применяются в части, не противоречащей требованиям законодательства Российской Федерации и (или) специального регулирования.
Настоящие Рекомендации, в первую очередь, разработаны для использования в качестве методического материала публичными акционерными обществами (далее также - организация, Общество), но могут быть использованы любыми организациями, заинтересованными в эффективной организации и осуществлении управления рисками, внутреннего контроля, внутреннего аудита, а также в целях повышения эффективности реализации советом директоров (наблюдательным советом) <2> стратегических и контрольных функций. Рекомендации содержат базовые принципы и подходы к организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров по аудиту (далее - комитет по аудиту), которые могут быть использованы организациями с учетом масштаба и специфики деятельности, реализуемых корпоративных практик и бизнес-процессов. Для определения подхода к внедрению настоящих Рекомендаций Общество может оценить реализуемые им практики организации управления рисками, внутреннего контроля, внутреннего аудита, ответив на вопросы, приведенные в Приложении 1 к настоящим Рекомендациям.
--------------------------------
<2> Далее по тексту используется термин "совет директоров".
Глоссарий
В настоящих Рекомендациях используются следующие термины и определения:
Риск - влияние <3> неопределенности на достижение поставленных целей Общества.
--------------------------------
<3> В соответствии с ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство" под влиянием понимается как положительное, так и отрицательное отклонение от того, что ожидается.
Риск-аппетит <4> (приемлемая величина риска) - виды и величина рисков в широком смысле, которые Общество готово принять в процессе реализации своих целей.
--------------------------------
<4> Определение "риск-аппетита" приведено с учетом положений Кодекса корпоративного управления, подхода, изложенного в Концепции Комитета спонсорских организаций Комиссии Трэдвэя COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.).
Система управления рисками и внутреннего контроля (СУРиВК) <5> - совокупность организационных мер, методик, процедур, норм корпоративной культуры и действий, предпринимаемых Обществом для достижения оптимального баланса между ростом стоимости Общества, прибыльностью и рисками, для обеспечения финансовой устойчивости Общества, эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, соблюдения законодательства, устава и внутренних документов Общества, своевременной подготовки достоверной отчетности.
--------------------------------
<5> Пункт 259 Кодекса корпоративного управления.
Внутренний контроль - процесс, осуществляемый советом директоров, исполнительными органами и работниками Общества на всех уровнях управления и направленный на получение разумной уверенности в том, что Общество обеспечивает:
- эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;
- достоверность, полноту и своевременность бухгалтерской (финансовой) и иной отчетности;
- соблюдение применимого законодательства и нормативных актов, а также внутренних нормативных документов Общества.
Управление рисками <6> - любые процессы, политики, устройства, практики или иные условия или действия, которые направлены на изменение риска.
--------------------------------
<6> ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство".
Портфель рисков - агрегированная информация о распределении всей совокупности рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.
Профиль рисков - агрегированная информация о распределении отдельной категории (вида, типа и т.д.) рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.
Глава 1. Основные положения об управлении рисками, внутреннем контроле, внутреннем аудите
Деятельность любого Общества как хозяйствующего субъекта сопряжена с теми или иными рисками, влияющими на реализацию Обществом принятой стратегии, достижение поставленных целей и эффективности деятельности Общества в целом. Согласно ст. 87.1 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" в Обществе должны быть организованы управление рисками и внутренний контроль, а для оценки их надежности и эффективности должен осуществляться внутренний аудит <7>.
--------------------------------
<7> Пункт 2 статьи 87.1 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" вступает в силу с 01.01.2021.
Для обеспечения надежного и эффективного управления рисками и внутреннего контроля рекомендуется рассматривать управление рисками и внутренний контроль в контексте единой интегрированной в бизнес-процессы Общества системы управления рисками и внутреннего контроля (СУРиВК), поскольку:
- внутренний контроль направлен на обеспечение разумной уверенности в достижении целей Общества в области операционной деятельности, подготовки отчетности и соблюдения всех обязательств Общества, для чего предполагает организацию управления рисками в первую очередь на процессном и операционном (транзакционном) уровнях деятельности;
- управление рисками направлено на повышение эффективности деятельности Общества в целом в результате интеграции управления рисками с процессами стратегического планирования, бизнес-планирования и принятия управленческих решений. Организация управления рисками начинается со стратегического уровня управления Обществом, предопределяя условия организации внутреннего контроля (в том числе через установление риск-аппетита, каскадирование целей и связанных с ними рисков).
СУРиВК, учитывая ее направленность на поддержку достижения поставленных перед Обществом целей, а также обеспечение объективного, справедливого и ясного представления о текущем состоянии и перспективах развития Общества, целостности и прозрачности отчетности Общества, разумности и приемлемости принимаемых Обществом рисков <8>, является одним из ключевых элементов корпоративного управления.
--------------------------------
<8> Принципы 5.1, 5.1.3 Кодекса корпоративного управления.
При определении подходов к организации управления рисками и внутреннего контроля рекомендуется исходить из задач СУРиВК, определенных в Кодексе корпоративного управления <9>:
--------------------------------
<9> Пункт 253 Кодекса корпоративного управления.
- обеспечение разумной уверенности в достижении целей Общества;
- обеспечение эффективности финансово-хозяйственной деятельности и экономичного использования ресурсов;
- выявление рисков и управление такими рисками;
- обеспечение сохранности активов Общества;
- обеспечение полноты и достоверности бухгалтерской (финансовой), статистической, управленческой и другой отчетности;
- контроль за соблюдением законодательства, а также внутренних политик, регламентов и процедур Общества.
Организация управления рисками и внутреннего контроля в каждом конкретном Обществе определяется его культурой и организационной структурой и применительно к определенным видам и направлениями деятельности Общества - требованиями законодательства Российской Федерации. Кодекс корпоративного управления <10> рекомендует при организации системы управления рисками и внутреннего контроля в Обществе принимать во внимание общепринятые концепции и практики работы в этой области. В частности, Обществу при организации управления рисками и внутреннего контроля рекомендуется ориентироваться на "модель трех линий", представленную Институтом внутренних аудиторов (The Institute of Internal Auditors) <11>.
--------------------------------
<10> Пункт 252 Кодекса корпоративного управления.
<11> The IIA'S three lines model (An update of the three lines of defense) (2020).
Использование "модели трех линий" способствует структурированию процедур, бизнес-процессов, взаимодействия органов управления и работников Общества в области управления рисками и внутреннего контроля, повышению эффективности внутреннего аудита, что в совокупности обеспечивает эффективное управление деятельностью Общества и способствует достижению Обществом поставленных целей.
Глава 2. Организация управления рисками и внутреннего контроля
2.1. Компоненты управления рисками и внутреннего контроля
Согласно концепции <12> Комитета спонсорских организаций Комиссии Трэдвэя COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.) к компонентам управления рисками относятся:
--------------------------------
<12> Согласно пункту 252 Кодекса корпоративного управления при создании системы управления рисками и внутреннего контроля рекомендуется применять общепринятые концепции и практики работы в области управления рисками и внутреннего контроля.
- корпоративное управление и культура;
- стратегия и постановка целей;
- эффективность деятельности;
- анализ и пересмотр;
- информация, коммуникация и отчетность.
Корпоративное управление и культура <13>
--------------------------------
<13> Компоненту "Корпоративное управление и культура" соответствуют элементы структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Лидерство и приверженность", "Проектирование и разработка".
Корпоративное управление и культура может рассматриваться в качестве основы управления рисками, где исходным этапом является формирование культуры управления рисками (риск-ориентированной культуры), отражающей основные ценности Общества, желаемое поведение в отношении управления рисками и важность понимания риска. Органы управления Общества призваны формировать поведенческую среду, демонстрировать приверженность основным ценностям Общества, подходам к управлению рисками при принятии решений, осуществлять надзорные функции за управлением рисками.
Стратегия и постановка целей <14>
--------------------------------
<14> Компоненту "Стратегия и постановка целей" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Адаптация".
При определении стратегии и постановке целей деятельности Общества совету директоров рекомендуется учитывать внешние и внутренние факторы, которые могут повлечь за собой риски, а риск-аппетит совету директоров рекомендуется устанавливать во взаимосвязи со стратегией Общества и отдельными направлениями (проектами) Общества.
Эффективность деятельности <15>
--------------------------------
<15> Компоненту "Эффективность деятельности" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Внедрение".
Обществу рекомендуется выявлять, оценивать и проводить анализ рисков, которые могут повлиять на способность Общества реализовать свою стратегию и достичь поставленных целей. Для этого в Обществе рекомендуется проводить анализ портфеля и профилей рисков, приоритизировать риски по уровню их возможного влияния (существенности) с учетом установленного риск-аппетита, и на основе проведенной работы осуществлять выбор стратегии/метода управления риском.
Анализ и пересмотр <16>
--------------------------------
<16> Компоненту "Анализ и пересмотр" соответствуют элементы структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Оценка эффективности" и "Улучшение".
Обществу рекомендуется проводить анализ практики управления рисками, с тем чтобы оценить, насколько она способствует реализации стратегии Общества и достижению поставленных целей, а также для определения направлений совершенствования управления рисками и внутреннего контроля.
Информация, коммуникация и отчетность <17>
--------------------------------
<17> Компоненту "Информация, коммуникация и отчетность" соответствует элемент структуры управления рисками, описанной в ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство", - "Проектирование и разработка".
Для результативного управления рисками Обществу рекомендуется получать информацию как из внешних, так и из внутренних источников, в том числе настолько, насколько это возможно, использовать ресурсы своих информационных систем для организации, обеспечения, осуществления управления рисками. На основе полученной информации рекомендуется осуществлять подготовку отчетности о рисках, культуре и эффективности деятельности Общества и вынесение ее на рассмотрение и утверждение советом директоров, а также доведение ее до всех заинтересованных сторон. Полученную информацию также рекомендуется использовать для прогнозирования ситуаций, которые могут помешать реализации стратегии и достижению целей Общества.
Надлежащее функционирование каждого из компонентов управления рисками способствует повышению устойчивости организации, а именно, помогает выявлять не только факторы риска, но и изменения (возможности), которые могут оказать влияние на результаты деятельности организации, и определять необходимость внесения изменений в стратегию.
Согласно концепции <18> Комитета спонсорских организаций Комиссии Трэдвэя COSO "Внутренний контроль. Интегрированная модель" (2013 г.) к компонентам внутреннего контроля относятся:
--------------------------------
<18> Пункт 252 Кодекса корпоративного управления.
- контрольная среда;
- оценка рисков;
- контрольные процедуры (средства контроля);
- информация и коммуникации;
- мониторинг (процедуры мониторинга).
Контрольная среда
Контрольная среда - совокупность стандартов, процессов и действий исполнительных органов, направленных на установление и поддержание эффективного функционирования внутреннего контроля в Обществе, а также понимание его важности на всех уровнях управления для достижения поставленных целей. Формирование контрольной среды предопределено корпоративной культурой в Обществе и стилем принятия решений органами управления Общества. Наиболее эффективной является контрольная среда, при которой органы управления подчеркивают важность внутреннего контроля, а работники понимают значение внутреннего контроля и готовы участвовать в нем.
Оценка рисков
В основе эффективного внутреннего контроля лежит риск-ориентированный подход, который подразумевает концентрацию усилий и инициатив по построению и совершенствованию внутреннего контроля, в первую очередь, в областях деятельности Общества, которые характеризуются наиболее высоким уровнем рисков. Для этого Обществу рекомендуется выявлять, оценивать и анализировать риски, которые могут повлиять на деятельности Общества и достижение поставленных целей.
Контрольные процедуры (средства контроля)
Обществу рекомендуется выбирать, разрабатывать и применять контрольные процедуры, направленные на снижение рисков, препятствующих достижению его целей. Контрольные процедуры являются одним из основных видов воздействия на риск и представляют собой мероприятия, действия работников Общества и (или) операции информационных систем, осуществляемые на различных уровнях организационной структуры Общества и направленные на уменьшение вероятности реализации риска и (или) минимизацию величины риска как угрозы.
Информация и коммуникации
Обществу рекомендуется внедрять эффективные средства обмена информацией и информационные технологии, которые позволяют создать условия для эффективной реализации управленческих функций, дают возможность органам управления и работникам принимать своевременные и обоснованные решения, выполнять свои должностные обязанности, в том числе в области управления рисками и внутреннего контроля. Обществу рекомендуется обеспечивать создание эффективных каналов обмена информацией, включая вертикальное и горизонтальное взаимодействие между участниками системы управления рисками и внутреннего контроля, а также взаимодействие с внешними заинтересованными сторонами.
Мониторинг (процедуры мониторинга)
Обществу рекомендуется осуществлять мониторинг (как постоянный/текущий, так и периодический либо комбинированный) средств контроля с тем, чтобы удостовериться в их наличии в Обществе и надлежащем функционировании.
Таким образом, внутренний контроль позволяет Обществу фокусироваться на достижении поставленных целей, соблюдая при этом требования законодательства Российской Федерации и внутренних документов, а интеграция с управлением рисками обеспечивает реализацию риск-ориентированного подхода при принятии управленческих решений на всех уровнях управления.
В случае формирования в Обществе обособленных (отдельно функционирующих, в том числе исторически сложившихся) системы внутреннего контроля и системы управления рисками совету директоров Общества рекомендуется рассмотреть целесообразность интеграции систем в целях формирования единой СУРиВК с учетом масштаба, вида и специфики деятельности Общества, оценки надежности и эффективности управления рисками и внутреннего контроля, фактов превышения риск-аппетита, инцидентов управления рисками, рекомендаций внутреннего и (или) внешнего аудитора Общества.
2.2. Организация системы управления рисками и внутреннего контроля
Организация управления рисками и внутреннего контроля зависит от масштаба, вида и специфики деятельности Общества, а также от реализуемой модели корпоративного управления.
Созданию эффективной СУРиВК независимо от масштаба, вида и специфики деятельности Общества способствует следование следующим рекомендациям:
- интеграция со стратегией, миссией и целями Общества;
- определение роли каждого из органов управления и подразделений Общества в области управления рисками и внутреннего контроля;
- информированный и вовлеченный в деятельность Общества совет директоров;
- четкое определение ролей и функций комитетов совета директоров в области управления рисками и внутреннего контроля;
- привлечение квалифицированных <19> руководителей, ответственных за организацию и осуществление управления рисками и внутренний контроль;
--------------------------------
<19> Наличие необходимых профильных знаний, профессионального опыта, соответствие требованиям профессиональных стандартов, утвержденных Министерством труда и социальной защиты Российской Федерации, а также иным требованиям, установленным законодательством Российской Федерации для замещения соответствующих должностей в зависимости от вида деятельности, осуществляемого Обществом.
- понимание каждым работником Общества в рамках функционального направления деятельности рисков (включая как угрозы, так и возможности), обязанностей и ответственности в области управления рисками и внутреннего контроля, вовлечение в процесс управления рисками и внутренний контроль;
- использование единой терминологии для обеспечения единого понимания всех аспектов управления рисками и внутреннего контроля в масштабах деятельности Общества;
- честное и объективное раскрытие информации о реализовавшихся рисках;
- доведение до сведения всех органов управления Общества информации по вопросам управления рисками и внутреннего контроля;
- повышение квалификации, уровня знаний у работников Общества в области управления рисками и внутреннего контроля;
- наличие отдельных каналов коммуникации для передачи информации о нарушениях в области управления рисками и внутреннего контроля;
- совершенствование подходов к организации и осуществлению управления рисками и внутреннего контроля с учетом изменений внешней и внутренней среды;
- обеспечение независимости внутреннего аудита.
Общие принципы и подходы к организации управления рисками и внутреннего контроля, цели и задачи СУРиВК рекомендуется определить в положении (политике) Общества в области управления рисками и внутреннего контроля <20> (далее - политика в области управления рисками и внутреннего контроля).
--------------------------------
<20> Под политикой в области управления рисками и внутреннего контроля понимается верхнеуровневый документ в области управления рисками и внутреннего контроля. Наименование документа определяется Обществом по его усмотрению с учетом подхода Общества к организации СУРиВК.
Политику в области управления рисками и внутреннего контроля целесообразно рассматривать в качестве основы для разработки внутренних методологических и организационно-распорядительных документов, регламентирующих организацию и осуществление управления рисками и внутреннего контроля (как на уровне Общества в целом, так и на уровне отдельных функциональных направлений деятельности, а также подконтрольных обществ). В политике в области управления рисками и внутреннего контроля рекомендуется определить:
- применяемые подходы и методы управления рисками, в том числе к идентификации, классификации, оценке, приоритизации рисков, определению критериев существенности;
- порядок взаимодействия органов управления и работников Общества, сроки выполнения отдельных процедур в области управления рисками и внутреннего контроля;
- состав и порядок формирования отчетности в области управления рисками и внутреннего контроля;
- порядок проведения оценки эффективности управления рисками и внутреннего контроля;
- порядок определения риск-аппетита;
- при необходимости - подходы к управлению рисками, а также организации внутреннего контроля по отдельным бизнес-процессам, подразделениям, проектам, программам и т.п.;
- подходы к коммуникации и доведению информации до исполнительных органов и совета директоров Общества.
2.3. Ограничения системы управления рисками и внутреннего контроля
Следует иметь в виду, что СУРиВК способна обеспечить разумную (не абсолютную) уверенность в достижении целей Общества, в связи с определенными ограничениями функционирования. Разумная уверенность при этом не подразумевает, что в СУРиВК будут происходить масштабные и (или) существенные сбои, а уровень подверженности ограничениям зависит в том числе от уровня развития СУРиВК в Обществе. Тем не менее в силу неотъемлемого характера ряда ограничений СУРиВК не может предоставить гарантии того, что, например, неподконтрольные события, ошибки или внештатные инциденты никогда не возникнут.
Несмотря на объективный характер ограничений СУРиВК, при разработке мероприятий по воздействию на риски Обществу рекомендуется минимизировать вероятность реализации и влияние рисков до приемлемого уровня. Кроме того, наличие таких ограничений не снимает ответственности за неэффективность организации управления рисками с лиц, ответственных в Обществе за организацию СУРиВК, в рамках их полномочий.
К ограничениям СУРиВК могут быть отнесены:
- особенности организации корпоративного управления в Обществе.
СУРиВК является одним из элементов корпоративного управления. При этом ряд вопросов корпоративного управления выходит за рамки СУРиВК, но оказывает непосредственное влияние на ее функционирование. Неэффективные процессы разработки стратегии и (или) постановки целей, неэффективная работа совета директоров и (или) исполнительных органов ограничивают возможности СУРиВК;
- субъективность суждения.
Решения в отношении рисков принимаются на основе человеческого суждения, с учетом временных ограничений, на основе имеющейся в распоряжении информации, подверженной искажению со стороны работников и в условиях внутреннего и внешнего давления (сроков, требований, высоких ключевых показателей эффективности);
- внешние события.
СУРиВК не способна обеспечить разумную уверенность в достижении целей, когда внешние события могут оказать значительное воздействие на достижение целей и это воздействие не может быть уменьшено до приемлемого уровня. В этих ситуациях СУРиВК может лишь обеспечить разумную уверенность в том, что Общество осведомлено о прогрессе или отсутствии такового в достижении таких целей;
- сбои СУРиВК.
Сбои могут быть вызваны различными факторами, в том числе неверным толкованием участниками СУРиВК внутренних документов, законодательства Российской Федерации, требований регулирующих органов, условий договоров; ошибками работников, в том числе по причине небрежности, недостаточной компетентности; невозможностью полного устранения риска несовершенства процессов, технологий, моделей;
- сознательное нарушение (обход) СУРиВК.
Участники СУРиВК могут совершать преднамеренные действия (в том числе в результате сговора) с целью сокрытия (искажения) данных о рисках и мероприятиях по воздействию на риски, нарушения выполнения мероприятий по воздействию на риски, невыполнения мероприятий по воздействию на риски (в том числе контрольных процедур) и (или) совершения неправомерных действий;
- отсутствие персональной ответственности исполнительных органов и (или) работников Общества (помимо гражданской, административной, уголовной) за реализацию существенных проектов, осуществляемых Обществом.
2.4. Участники системы управления рисками и внутреннего контроля
Управление рисками и внутренний контроль осуществляются на всех уровнях организации и подразумевают вовлечение всех органов управления и работников Общества (участники СУРиВК), роли и функции которых разграничены и в то же время дополняют друг друга <21>. Обязанности и ответственность за принятие и реализацию (выполнение) решений в области управления рисками и внутреннего контроля между участниками СУРиВК рекомендуется распределить таким образом, чтобы было исключено дублирование функций, обеспечены согласованность и эффективность реализуемых мер по управлению рисками.
--------------------------------
<21> Пункт 254 Кодекса корпоративного управления.
Рекомендуется во внутренних документах Общества определить <22> зоны ответственности, полномочия органов управления Общества, функции и зоны ответственности структурных подразделений в области управления рисками и внутреннего контроля, требования к компетенции руководителей и работников Общества в области управления рисками и внутреннего контроля в рамках функционального направления деятельности, ответственность участников СУРиВК за выявление, оценку, учет рисков при принятии решений, порядок доступа участников СУРиВК к документам, информационным ресурсам и иной информации о деятельности Общества, а также порядок взаимодействия всех участников СУРиВК. Компетенцию и полномочия совета директоров и исполнительных органов в области управления рисками и внутреннего контроля рекомендуется определить в уставе Общества.
--------------------------------
<22> Пункт 255 Кодекса корпоративного управления.
Совет директоров
К компетенции совета директоров в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:
- определение принципов и подходов к организации в Обществе управления рисками и внутреннего контроля, в том числе утверждение внутренних документов Общества, определяющих политику в области управления рисками и внутреннего контроля;
- утверждение и пересмотр риск-аппетита;
- рассмотрение и одобрение стратегии Общества с учетом рисков Общества;
- рассмотрение и мониторинг наиболее существенных рисков, которым подвержено Общество;
- определение ключевых показателей эффективности исполнительных органов, руководителей структурных подразделений, ключевых работников Общества с учетом результатов оценки эффективности управления рисками и внутреннего контроля;
- рассмотрение отчетов исполнительных органов Общества о функционировании СУРиВК;
- организация проведения не реже одного раза в год оценки надежности и эффективности управления рисками и внутреннего контроля;
- рассмотрение не реже одного раза в год материалов и результатов оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля;
- рассмотрение заключения внешней оценки эффективности управления рисками и внутреннего контроля;
- вопросы в области внутреннего аудита <23>.
--------------------------------
<23> См. главу 3 настоящих Рекомендаций.
В целях содействия эффективному выполнению функций совета директоров в области управления рисками и внутреннего контроля в зависимости от масштаба и характера деятельности Общества из числа членов совета директоров может быть сформирован комитет по рискам, а в случае отсутствия такого комитета его функции может выполнять комитет по аудиту.
Порядок формирования комитета по рискам рекомендуется отразить в положении <24> о комитете по рискам и иных внутренних документах Общества, определяющих состав и порядок деятельности комитетов совета директоров.
--------------------------------
<24> Информационное письмо Банка России от 15.09.2016 N ИН-015-52/66 "О положениях о совете директоров и о комитетах совета директоров публичного акционерного общества".
Количественный состав и квалификационные требования к членам комитета по рискам целесообразно определять в зависимости от масштаба, вида и специфики деятельности, бизнес-целей и профиля рисков Общества, а также в соответствии с рекомендациями Кодекса корпоративного управления <25>.
--------------------------------
<25> Пункт 197 Кодекса корпоративного управления.
В случае необходимости Общество может на временной основе привлекать к работе комитета по рискам экспертов и консультантов без права голоса при принятии решений по вопросам компетенции комитета.
К задачам комитета по рискам в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:
- предварительное рассмотрение до утверждения советом директоров проекта политики в области управления рисками и внутреннего контроля Общества, а также вносимых последующих изменений в указанный документ;
- совместные с комитетом по аудиту рассмотрение и подготовка заключения в отношении риск-аппетита и его показателей до их представления на утверждение совету директоров;
- анализ перечня и характера существенных рисков, а также их влияния на достижение целей Общества;
- рассмотрение мер реагирования на риски;
- проведение регулярных встреч с исполнительными органами Общества для обсуждения эффективности контрольных процедур, рассмотрения существенных недостатков внутреннего контроля и планов по их устранению, выявления существенных рисков и их индикаторов, осуществления анализа мероприятий по управлению существенными рисками;
- контроль за надежностью и эффективностью управления рисками и внутреннего контроля, в том числе в части установления процедур по выявлению, оценке, управлению и мониторингу рисков;
- инициирование (по мере необходимости, при изменении процедур и (или) применимых регуляторных требований) оценки надежности и эффективности управления рисками и внутреннего контроля;
- рассмотрение отчетов исполнительных органов о функционировании СУРиВК, заключений и материалов проверок внутреннего аудита по вопросам, связанным с управлением рисками и внутренним контролем, материалов и результатов оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля, заключения по итогам внешней оценки эффективности управления рисками и внутреннего контроля, подготовка предложений по совершенствованию организации управления рисками и внутреннего контроля;
- анализ результатов выполнения разработанных исполнительными органами мероприятий по совершенствованию управления рисками и внутреннего контроля;
- оценка необходимости пересмотра политики в области управления рисками и внутреннего контроля.
Исполнительные органы
К компетенции исполнительных органов Общества в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:
- организация, поддержание и развитие эффективной СУРиВК, выполнение решений совета директоров в области организации управления рисками и внутреннего контроля;
- утверждение методологии по управлению рисками и внутреннему контролю;
- распределение полномочий, обязанностей и ответственности между находящимися в их ведении и (или) курируемыми руководителями структурных подразделений Общества в области управления рисками и внутреннего контроля;
- рассмотрение отчетов руководителей, ответственных за организацию и осуществление управления рисками и внутреннего контроля, о функционировании СУРиВК;
- рассмотрение и утверждение реестра рисков <26> и планов мероприятий по управлению рисками;
--------------------------------
<26> Применимо в случае, если Общество реализует практику ведения реестра рисков. В любом случае исполнительным органам Общества рекомендуется осуществлять проактивный анализ рисков при принятии решений в процессе управления деятельностью Общества.
- инициирование оценки эффективности управления рисками и внутреннего контроля;
- рассмотрение и утверждение программы развития СУРиВК.
В целях организации, поддержания и развития СУРиВК в Обществе могут быть сформированы коллегиальные органы по управлению рисками (комитеты, комиссии, рабочие группы, состоящие из представителей исполнительных органов и работников структурных подразделений Общества). Такие коллегиальные органы могут формироваться для целей принятия решений по отдельным типам рисков либо выполнять совещательную функцию. В случае если к компетенции таких коллегиальных органов относится принятие решений по воздействию на риски (включая выбор методов и мероприятий по воздействию на риск), ответственность за принятие таких решений, а также обязательность их выполнения и ответственность за выполнение принятых решений рекомендуется определить во внутренних документах Общества.
Иные ключевые участники СУРиВК
Работники и руководители бизнес-подразделений - владельцев рисков, непосредственно выполняющие бизнес-процессы и управляющие связанными с ними рисками, то есть те, кто выявляет, идентифицирует, оценивает риски, реализует меры по снижению рисков, обеспечивает соответствие применяемых мер целям и задачам организации, внедряет и выполняет контрольные процедуры - интегрирует управление рисками и внутренний контроль в процессы реализации стратегических и тактических целей и несет ответственность за обеспечение эффективной реализации контрольных процедур и управление рисками на постоянной основе.
Работники и руководители структурных подразделений, осуществляющие поддержку работников и руководителей бизнес-подразделений - владельцев рисков путем координации взаимодействия, обучения, информирования и разъяснения методологии, подготовки и формирования отчетности в области управления рисками и внутреннего контроля, а также отслеживающие эффективность внедрения и осуществления управления рисками и внутреннего контроля работниками и руководителями бизнес-подразделений - владельцев рисков путем проведения проверок и (или) мониторинга их действий. К таким подразделениям, например, относятся подразделения по управлению рисками и внутреннему контролю <27>, комплаенс-контролю <28>, охране труда и промышленной безопасности. Структуру, функционал, наименования, подчиненность подразделений рекомендуется определять с учетом применимых к Обществу требований законодательства Российской Федерации, масштаба, вида и специфики деятельности Общества, организационной структуры Общества, а также рекомендуется принимать во внимание оценку надежности и эффективности управления рисками и внутреннего контроля, факты превышения риск-аппетита, инциденты управления рисками, рекомендации внутреннего и (или) внешнего аудитора Общества. При этом место подразделения (подразделений), координирующего деятельность Общества в рамках СУРиВК и обеспечивающего ее функционирование, в организационной структуре Общества рекомендуется определить таким образом, чтобы оно было структурно разграничено (включая полномочия и обязанности) от деятельности подразделений, осуществляющих управление рисками в рамках своей операционной деятельности.
--------------------------------
<27> Согласно пункту 258 Кодекса корпоративного управления для эффективного функционирования СУРиВК рекомендуется создавать (определить) отдельное структурное подразделение (подразделения) по управлению рисками и внутреннему контролю.
<28> В целях применения настоящих Рекомендаций под комплаенс-контролем понимается контроль за соблюдением Обществом законодательства Российской Федерации, общепризнанных принципов и норм международного права и международных договоров Российской Федерации, иных требований, обязательных для исполнения Обществом (в том числе стандартов саморегулируемых организаций, кодексов поведения профессиональных объединений), а также внутренних документов Общества.
Работники, осуществляющие внутренний аудит, - обеспечивающие независимую и объективную оценку надежности и эффективности управления рисками и внутреннего контроля, оказывающие содействие исполнительным органам Общества и работникам Общества, вовлеченным в управление рисками и внутренний контроль, в разработке и мониторинге исполнения процедур и мероприятий по совершенствованию управления рисками и внутреннего контроля. Вопросы организации внутреннего аудита в Обществе рассмотрены в главе 3 настоящих Рекомендаций.
2.5. Риск-культура и контрольная среда
Риск-культура отражает основные ценности, поведение и модель принятия решений всеми органами управления и работниками Общества. Риск-культура включает в себя желаемое поведение по отношению к риску, а также все элементы контрольной среды Общества, такие как стиль руководства, корпоративная культура, этические ценности, организационная структура, подотчетность и ответственность руководителей направлений, структурных подразделений, компетентность и развитие работников, открытая коммуникация и т.д. Риск-культура влияет на решения линейных руководителей и работников, даже если они сознательно не принимают во внимание риски, присущие их ежедневной деятельности.
Формирование риск-культуры, разделяемой всеми работниками Общества, является основополагающим фактором при обеспечении эффективного управления рисками с целью реализации стратегии и достижения бизнес-целей Общества.
Совет директоров и исполнительные органы Общества призваны подавать личный пример в разделении ценностей, поведенческой модели принятия решений, демонстрации и поддержании надлежащих практик управления рисками, то есть формировать поведенческую среду с учетом ожиданий заинтересованных лиц <29>, социальных и этических норм и правил поведения.
--------------------------------
<29> Акционеры, инвесторы, клиенты, кредиторы, вкладчики, контрагенты и иные заинтересованные лица.
Совет директоров и исполнительные органы призваны определять желаемую риск-культуру Общества в целом, а ценности Общества, в свою очередь, обуславливают ожидаемое поведение при принятии повседневных решений для целей соответствия ожиданиям заинтересованных лиц.
Для формирования риск-культуры рекомендуется развивать и повышать компетенцию работников (обучение, управление стрессом и давлением), совершенствовать систему мотивации (вознаграждение эффективной деятельности), обеспечивать условия и поддерживать взаимодействие участников (открытая коммуникация).
Кроме того, Обществу рекомендуется на регулярной основе повышать уровень информированности всех участников СУРиВК относительно реализуемой Обществом политики в области управления рисками и внутреннего контроля, что позволит всем органам управления и работникам Общества на всех уровнях четко понимать роль и значение данной системы для деятельности Общества, их непосредственную роль и функции в ней. Недостаточная информированность работников о рисках может увеличить вероятность нарушений в процессах, контроле, системах и риск утечки и (или) утери конфиденциальной информации. Для повышения уровня информированности и внедрения благоприятной риск-культуры в организации рекомендуется обращать внимание на модели поведения, демонстрируемые как советом директоров, так и исполнительными органами Общества.
Уровень зрелости риск-культуры определяется общностью целей, ценностей, этических норм и терминологии; их единообразным пониманием и применением; ориентированностью на обучение; своевременной, открытой и честной коммуникацией; признанием ценности эффективного управления рисками; индивидуальной и коллективной ответственностью.
2.6. Риск-аппетит
Обществу целесообразно применять риск-аппетит для:
- установления запретов и разрешений по величине риска, связанных с достижением бизнес-целей;
- единого понимания приемлемых рисков на всех уровнях управления Обществом;
- достижения стратегических и операционных целей за счет контроля риска в пределах допустимых границ.
Риск-аппетит (приемлемый уровень риска) отражает общекорпоративный подход к определению приемлемости рисков для Общества. После утверждения риск-аппетита все управленческие решения, включая формирование финансового плана и бюджета, рекомендуется принимать с учетом установленного риск-аппетита. Для учета риск-аппетита на разных уровнях принятия решений в Обществе рекомендуется определить подход к его каскадированию по уровням организационной структуры Общества, а также определить показатели - измеримые и контролируемые метрики отклонения от целей бизнеса:
- толерантность к риску (допустимый уровень риска) - отклонение от конкретной цели, которое Общество и заинтересованные стороны готовы принять в рамках воздействия неподконтрольных Обществу обстоятельств;
- лимиты на риск - пороговые значения рисков, связанные с конкретными показателями (например, ключевыми индикаторами риска).
Заявления о риск-аппетите целесообразно формулировать исходя из целей Общества, в том числе на очередной период бизнес-планирования, среднесрочную или долгосрочную перспективу.
Риск-аппетит может быть выражен качественно и (или) на основе количественных показателей. Качественное выражение риск-аппетита подразумевает, что риск-аппетит не имеет четких количественных показателей, то есть представляет собой общее заявление о том, что допустимо <30>, приемлемо или неприемлемо <31> для Общества в процессе реализации своей миссии и достижения поставленных целей.
--------------------------------
<30> Например, "для общества приоритетны принятые на себя обязательства по защите окружающей среды. Общество допускает отказ от каналов сбыта, негативно влияющих на их соблюдение".
<31> Например, "несчастные случаи по вине работодателя со смертельным исходом на производственных площадках неприемлемы для всех дивизионов общества".
Помимо качественного выражения риск-аппетита Обществу также рекомендуется разрабатывать количественные показатели с учетом стратегии, бизнес-целей, анализа прошлых и текущих целевых показателей. Количественные показатели <32> риск-аппетита могут быть выражены посредством целевого показателя, диапазона значений, верхнего или нижнего предела.
--------------------------------
<32> Например, "допускается снижение запланированного годового показателя EBITDA не более 1%".
При выборе параметров для определения риск-аппетита целесообразно рассмотреть возможность использования:
- стратегических параметров, таких как новые продукты, которые следует или не следует разрабатывать, показатели стратегических проектов и капитальных инвестиций;
- финансовых параметров, таких как выручка, доходность активов, доходность капитала, целевой рейтинг кредитоспособности и целевое соотношение заемного и собственного капитала;
- операционных параметров, таких как объем производства, реализация продукции, размер издержек, экологические требования, целевые показатели безопасности, качества и взаимодействия с клиентами.
Ограничения и допущения риск-аппетита
При применении концепции риск-аппетита Обществу рекомендуется учитывать ее ограничения и допущения, такие как:
- соответствие риск-аппетита ключевым стратегическим целям Общества и наличие связи с ними;
- формулирование риск-аппетита посредством обозначения четких и понятных ориентиров для принятия решений, но не подробных инструкций к действию. Риск-аппетит целесообразно сформулировать таким образом, чтобы не оставалось сомнений и исключалась двусмысленность толкования;
- изменяемость риск-аппетита - рекомендуется пересматривать риск-аппетит на регулярной основе (как минимум ежегодно) для оценки его соответствия текущей ситуации с учетом изменений внешней и внутренней среды, готовности Общества принимать риск за прошедшее время, пересмотра стратегии, бизнес-планов, ключевых показателей деятельности Общества.
- каскадирование риск-аппетита на все уровни принятия решений.
2.7. Интеграция управления рисками и внутреннего контроля в деятельность Общества
Управление рисками и внутренний контроль не являются обособленными функциями и (или) деятельностью, отделенной от основной деятельности и бизнес-процессов Общества. Интегрированные в деятельность Общества управление рисками и внутренний контроль предопределяют возможность и эффективность реализации стратегии и достижения бизнес-целей Общества, повышают эффективность процесса принятия решений, проектной и операционной деятельности Общества.
К ключевым направлениям интеграции управления рисками и внутреннего контроля в деятельность Общества можно отнести:
Стратегическое планирование
В ходе разработки (актуализации) стратегии Обществу рекомендуется выявлять риски, присущие сценарию ее реализации, и оценивать их влияние на достижение поставленных целей, а также включать в стратегию мероприятия по воздействию на такие риски.
Разработка нескольких альтернативных сценариев либо отдельных стратегий подразумевает выявление и оценку потенциальных рисков для каждого рассматриваемого сценария (стратегии). Выявленные риски в совокупности формируют профиль риска для каждого варианта; то есть разные сценарии (стратегии) обладают разными профилями риска. Обществу рекомендуется учитывать профили риска при выборе наилучшего сценария (стратегии) среди альтернативных.
Обществу рекомендуется разработать порядок мониторинга для всех существенных стратегических рисков и проанализировать необходимость непрерывного мониторинга данных рисков, в том числе с помощью ключевых индикаторов риска.
Бизнес-планирование и бюджетирование
В рамках формирования бюджетов подразделениям Общества рекомендуется выявлять и оценивать риски, оказывающие непосредственное влияние на целевые показатели и на достижение целей Общества, а также проводить оценку средств, необходимых для реализации мероприятий по воздействию на риски.
Расходы на мероприятия по воздействию на риски и потенциальные потери от реализации рисков рекомендуется учитывать одновременно с потенциальным эффектом от реализации мероприятий при составлении как бюджетов отдельных подразделений, так и консолидированного бюджета (финансового плана) Общества. В случае изменения оценки рисков или выявления новых рисков подразделениям рекомендуется проводить анализ влияния данных рисков на действующий бюджет.
Принятие управленческих решений
При организации управления рисками и внутреннего контроля рекомендуется предусмотреть способы интеграции управления рисками и внутреннего контроля в процесс принятия управленческих решений как на организационном, так и на операционном уровне управления Общества:
- на организационном уровне - путем анализа и реагирования на риски, влияющие на достижение целей Общества, исходя из установленного уровня риск-аппетита при принятии управленческих решений органами управления;
- на операционном уровне - путем анализа и реагирования на риски, влияющие на достижение целей отдельных бизнес-процессов, подразделений, проектов, исходя из показателей, определяемых на основе риск-аппетита, при принятии управленческих решений в рамках деятельности руководителей структурных подразделений.
Инвестиционное планирование и проектное управление
В рамках управления проектами Обществу также рекомендуется определять риск-аппетит по отношению к портфелю проектов и допустимый уровень риска по отношению к отдельным существенным <33> проектам, а также осуществлять управление проектными рисками на всех стадиях реализации проекта. При этом Обществу рекомендуется осуществлять контроль как напрямую за конкретными рисками и мероприятиями по воздействию на них, так и косвенно с помощью экономических показателей реализации проекта.
--------------------------------
<33> Уровень существенности проекта определяется Обществом самостоятельно в зависимости от масштаба и вида деятельности.
В случае наличия портфеля проектов Обществу рекомендуется учитывать влияние и взаимосвязь различных рисков на экономические показатели портфеля в целом для создания сбалансированного портфеля проектов путем использования инструментов портфельного анализа, оценки, моделирования и оптимизации.
Система мотивации персонала
Программы мотивации предназначены для стимулирования работников и руководителей Общества к совершению действий, направленных на достижение его бизнес-целей. Основной задачей риск-ориентированной системы мотивации является формирование как у работников, так и у руководителей подразделений, исполнительных органов персональной ответственности и понимания, в рамках которых они при принятии каких-либо решений или совершении действий оценивают последствия таких решений (действий) с точки зрения рисков, которым они могут подвергнуть Общество, и мотивированы поступать в соответствии с риск-культурой Общества и установленным риск-аппетитом для достижения поставленных бизнес-целей.
Для этого достижение бизнес-целей (в том числе долгосрочных) рекомендуется соответствующим образом балансировать через включение в систему ключевых показателей эффективности показателей, связанных с управлением рисками. К ним могут относиться отдельные показатели риск-аппетита, а также отдельные ключевые индикаторы риска. Кроме того, в систему ключевых показателей эффективности могут быть включены метрики выполнения мероприятий по воздействию на риск и их эффективности, а для более объективного анализа рекомендуется также учитывать наличие ресурсов, выделенных на выполнение данных мероприятий.
Операционная деятельность
В рамках деятельности отдельных бизнес-процессов и подразделений Обществу рекомендуется на регулярной основе выявлять и оценивать риски рутинных операций и транзакций с целью определения и внедрения оптимального набора контрольных процедур, направленных на минимизацию наиболее существенных рисков, то есть обеспечить эффективную работу внутреннего контроля (риск-ориентированный контроль).
2.8. Организация управления рисками и внутреннего контроля в холдингах
Для обеспечения методологического единообразия и гармонизации используемых подходов целесообразно распространить реализуемые принципы и подходы к организации и осуществлению управления рисками и внутреннего контроля Общества на подконтрольные ему общества в той части, в которой это возможно, исходя из принципов корпоративного управления. Для учета рисков подконтрольных обществ рекомендуется определить подход к формированию портфеля и профилей рисков в холдинге. В связи с этим Обществу рекомендуется:
- рассматривать риски подконтрольных обществ как отдельные риски с учетом корректировки оценки их влияния относительно шкалы или пороговых значений, используемых в Обществе;
- рассматривать риски подконтрольных обществ как причины возникновения (риск-факторы) рисков Общества и соответствующим образом учитывать (то есть агрегировать) их при оценке рисков Общества;
- использовать комбинированный подход, то есть учитывать типовые риски подконтрольных обществ в составе соответствующих им рисков Общества и включать "уникальные" риски подконтрольных обществ в перечень рисков Общества.
2.9. Оценка эффективности управления рисками и внутреннего контроля
Совету директоров Общества рекомендуется предпринимать необходимые меры для того, чтобы убедиться, что действующая в Обществе СУРиВК соответствует определенным советом директоров принципам и подходам к организации управления рисками и внутреннего контроля, надежно и эффективно функционирует <34>. В связи с этим совету директоров рекомендуется не реже одного раза в год рассматривать вопросы организации, функционирования, эффективности управления рисками и внутреннего контроля <35>.
--------------------------------
<34> Принцип 5.1.4 Кодекса корпоративного управления.
<35> Пункт 262 Кодекса корпоративного управления.
В целях поддержания надежности и обеспечения эффективности управления рисками и внутреннего контроля Обществу рекомендуется проводить оценку управления рисками и внутреннего контроля, форму и периодичность проведения такой оценки рекомендуется определить в политике в области управления рисками и внутреннего контроля.
При оценке эффективности управления рисками и внутреннего контроля рекомендуется учитывать уровень развития СУРиВК и корпоративного управления, масштабы, виды и специфику деятельности Общества, специфику организационной структуры и организации бизнес-процессов, применимые законодательные требования, соотношение итоговых результатов деятельности Общества с целями Общества.
Внутренняя оценка эффективности управления рисками и внутреннего контроля
Внутренняя оценка эффективности управления рисками и внутреннего контроля осуществляется с целью подтверждения организации и осуществления управления рисками и внутреннего контроля в соответствии с требованиями регулирующих органов, внутренних документов в области управления рисками и внутреннего контроля, определения полноты, достаточности и актуальности указанных документов и формирования предложений по развитию СУРиВК.
Внутренняя оценка эффективности управления рисками и внутреннего контроля может быть проведена в следующем объеме:
- комплексная оценка СУРиВК в Обществе;
- оценка отдельных компонентов управления рисками и внутреннего контроля либо их комбинации;
- в Обществе и подконтрольных ему обществах - оценка с целью формирования вывода о надежности и эффективности управления рисками и внутреннего контроля в холдинге.
Внутренняя оценка управления рисками и внутреннего контроля может быть проведена:
- внутренним аудитором Общества;
- посредством проведения самооценки подразделением (подразделениями), ответственным за организацию управления рисками и внутреннего контроля, а также структурными подразделениями Общества в рамках функциональной деятельности.
В случае если в Обществе определен подход к оценке развития СУРиВК (модель зрелости), по результатам проведения внутренней оценки СУРиВК может быть определен уровень развития (зрелости) СУРиВК. Помимо оценки уровня зрелости также рекомендуется делать вывод об эффективности функционирования и существующих ограничениях СУРиВК. Несмотря на то что Общество не всегда может достигать поставленные цели или осуществлять деятельность в рамках риск-аппетита, случаи невыполнения целей Общества и (или) превышения риск-аппетита целесообразно рассматривать в приоритетном порядке при проведении оценки и формировании вывода об эффективности управления рисками и внутреннего контроля.
Рекомендуется не реже одного раза в год представлять на рассмотрение исполнительным органам и совету директоров Общества результаты внутренней оценки управления рисками и внутреннего контроля. По итогам оценки рекомендуется сформировать план мероприятий по устранению недостатков, корректирующих мер, направленных на обеспечение надежности, эффективности и совершенствование как отдельных компонентов управления рисками и внутреннего контроля, так и СУРиВК в целом и осуществлять последующий контроль его выполнения.
Результаты оценки управления рисками и внутреннего контроля также рекомендуется учитывать при определении ключевых показателей эффективности руководителей структурных подразделений Общества, ключевых работников Общества.
Внешняя оценка эффективности управления рисками и внутреннего контроля
Внешняя оценка эффективности управления рисками и внутреннего контроля проводится внешним экспертом <36> с целью получения независимого мнения о состоянии СУРиВК, эффективности управления рисками и внутреннего контроля в процессе реализации Обществом целей деятельности. Периодичность проведения внешней оценки рекомендуется определить в политике в области управления рисками и внутреннего контроля.
--------------------------------
<36> Под экспертом подразумевается организация или индивидуальный предприниматель, оказывающие подобные услуги.
Выбор внешнего эксперта для проведения внешней оценки эффективности управления рисками и внутреннего контроля рекомендуется осуществлять в соответствии с требованиями законодательства Российской Федерации и внутренними процедурами Общества по выбору поставщиков услуг, принимая во внимание следующие критерии:
- наличие профессиональной компетенции в области проведения оценки эффективности управления рисками и внутреннего контроля;
- наличие у эксперта достаточного количества специалистов в области управления рисками и внутреннего контроля, обладающих профильными компетенциями, национальными и (или) международными сертификатами;
- достаточный и недавний по времени практический опыт работы в области управления рисками и внутреннего контроля у эксперта (руководителя проектной команды);
- отсутствие у эксперта потенциального или фактического конфликта интересов, способного оказать влияние на объективность эксперта, включая:
-- аффилированность с Обществом и (или) его подконтрольными обществами, в том числе работниками, членами исполнительных органов, совета директоров;
-- заинтересованность эксперта в результатах деятельности Общества.
В случае если на деятельность Общества оказывают существенное влияние отдельные риски, целесообразно предусмотреть возможность привлечения внешних экспертов для проведения оценки управления подобными рисками, в том числе согласно регуляторным требованиям и (или) требованиям законодательства Российской Федерации по проведению оценки и проверок отдельных видов деятельности, отдельных рисков и отдельных мероприятий по воздействию на риски и сертификации отдельных видов деятельности.
Результаты проведения внешней оценки рекомендуется представлять исполнительным органам и совету директоров Общества отдельно от результатов внутренней оценки.
Результаты внешней оценки рекомендуется учитывать при определении ключевых показателей эффективности исполнительных органов Общества, руководителя (руководителей), ответственного (ответственных) за организацию управления рисками и (или) внутреннего контроля, и выработки корректирующих мер, направленных на обеспечение надежности, эффективности и совершенствование управления как отдельных компонентов управления рисками и внутреннего контроля, так и СУРиВК в целом.
Глава 3. Организация внутреннего аудита
3.1. Цели и задачи внутреннего аудита
В целях содействия совету директоров и исполнительным органам в сохранении и повышении стоимости Общества и достижении поставленных перед ним целей Обществу рекомендуется организовать внутренний аудит для проведения независимых и объективных внутренних аудиторских проверок на основе риск-ориентированного подхода, предоставления консультаций и обмена знаниями <37>.
--------------------------------
<37> Миссия внутреннего аудита (источник: Международные основы профессиональной практики внутреннего аудита, разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors)).
Внутренний аудит способствует достижению Обществом поставленных целей, используя систематизированный и последовательный подход к оценке и выработке рекомендаций по повышению эффективности управления рисками, внутреннего контроля и корпоративного управления, предоставляя независимые и объективные гарантии и консультации, направленные на совершенствование деятельности Общества <38>.
--------------------------------
<38> Определение и цели внутреннего аудита (источник: Международные основы профессиональной практики внутреннего аудита, разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors).
Цели, задачи, полномочия и обязанности внутреннего аудита, способ организации внутреннего аудита в Обществе, подотчетность внутреннего аудита в Обществе, порядок контроля обеспечения и повышения качества внутреннего аудита рекомендуется определить в положении (политике) в области организации и осуществления внутреннего аудита Общества (далее - политика внутреннего аудита).
К задачам внутреннего аудита можно отнести:
Оценку корпоративного управления и предоставление рекомендаций по его совершенствованию
Оценку корпоративного управления в рамках внутреннего аудита целесообразно проводить в соответствии с принципами и подходами, изложенными во внутренних документах Общества, требованиях законодательства Российской Федерации и регулирующих органов, применимых к Обществу, общепринятых концепциях и практиках работы в области корпоративного управления.
Оценка корпоративного управления может включать проверку:
- соблюдения и продвижения в Обществе этических принципов и корпоративных ценностей;
- порядка постановки целей Общества, мониторинга и контроля их достижения;
- процесса принятия стратегических и операционных решений в Обществе;
- уровня нормативного обеспечения и процедур информационного взаимодействия (в том числе по вопросам внутреннего контроля и управления рисками) на всех уровнях управления Общества, включая взаимодействие с заинтересованными сторонами;
- соответствия системы управления информационными технологиями стратегии и целям Общества;
- осуществления надзора за системой управления рисками и внутреннего контроля;
- обеспечения прав акционеров, в том числе подконтрольных обществ, и эффективности взаимоотношений с заинтересованными сторонами;
- процедур раскрытия информации о деятельности Общества и подконтрольных ему обществ.
Оценку надежности и эффективности управления рисками и внутреннего контроля и предоставление рекомендаций по ее совершенствованию
Оценку надежности и эффективности управления рисками и внутреннего контроля в рамках внутреннего аудита целесообразно проводить в соответствии с принципами и подходами, изложенными во внутренних документах Общества, требованиях законодательства Российской Федерации и регулирующих органов, применимых к Обществу, общепринятых концепциях и практиках работы в области управления рисками и внутреннего контроля <39>, настоящих Рекомендациях.
--------------------------------
<39> См. введение к настоящим Рекомендациям.
При проведении оценки надежности и эффективности управления рисками и внутреннего контроля рекомендуется обратить внимание прежде всего на определение наличия и работу компонентов управления рисками и внутреннего контроля, а также эффективность их функционирования совместно, интегрированным образом.
При формировании суждения об эффективности управления рисками в Обществе внутреннему аудиту рекомендуется рассматривать в том числе, но не ограничиваясь:
- соответствие целей деятельности Общества его миссии;
- полноту и корректность выявления и оценки существенных рисков;
- эффективность мер реагирования на риски и их удержания в пределах риск-аппетита Общества;
- порядок сбора и обмена информацией о рисках внутри Общества для обеспечения надлежащего реагирования на риски.
При формировании суждения об эффективности внутреннего контроля в Обществе внутреннему аудиту рекомендуется рассматривать в том числе, но не ограничиваясь:
- эффективность внутреннего контроля применительно к одной категории целей (например, подготовка финансовой отчетности) или нескольким целям;
- адекватность критериев, установленных исполнительными органами Общества для анализа степени достижения поставленных целей, в том числе проведение руководством Общества оценки и мониторинга затрат и выгод, связанных с внедрением средств контроля;
- эффективность контрольных процедур и их соответствие уровню риска;
- степень существенности недостатков внутреннего контроля.
3.2. Внутренний аудит в организационной структуре Общества
Способ организации внутреннего аудита
Совету директоров Общества рекомендуется определить наиболее оптимальный способ организации внутреннего аудита, а именно - посредством введения должности руководителя внутреннего аудита, создания отдельного структурного подразделения внутреннего аудита или посредством привлечения независимой внешней организации <40>.
--------------------------------
<40> С учетом требований законодательства Российской Федерации (при наличии таковых).
При выборе способа организации внутреннего аудита целесообразно принимать во внимание следующие критерии:
- соотношение затрат на создание и функционирование внутреннего аудита в Обществе с затратами на оплату стоимости услуг независимой внешней организации;
- наличие в штате или возможность найма достаточного количества работников, обладающих знаниями, навыками и опытом, необходимыми для выполнения поставленных перед внутренним аудитом целей и задач;
- географическая удаленность подразделений Общества;
- частота проведения аудиторских проверок;
- требования нормативных документов общества, законодательства Российской Федерации и регулирующих органов (в частности, ограничения, налагаемые на независимую внешнюю организацию в связи с отсутствием разрешительной документации (лицензии) на работу с определенным типом информации). Все вопросы, связанные с организацией и деятельностью внутреннего аудита, до представления их на утверждение или рассмотрение совету директоров Общества рекомендуется предварительно направлять на рассмотрение комитету по аудиту.
В политике внутреннего аудита рекомендуется закрепить, что в случае принятия решения советом директоров Общества о проведении внутреннего аудита с привлечением независимой внешней организации ответственность за выбор и качество осуществления внутреннего аудита Общества несет совет директоров. В политике внутреннего аудита также рекомендуется закрепить, что при передаче на аутсорсинг только отдельных проверок или отдельных задач внутреннего аудита, например выполнение заданий по консультированию, ответственность за их выполнение и результаты возлагается на руководителя внутреннего аудита Общества.
Совету директоров помимо утверждения порядка выбора независимой внешней организации, определения такой организации и условий договора с ней, в том числе размера вознаграждения за оказанные услуги, рекомендуется также определить порядок обеспечения качества ее деятельности (например, посредством утверждения программы обеспечения и повышения качества внутреннего аудита как приложения к договору с внешней организацией), провести оценку наличия у организации, рассматриваемой для проведения внутреннего аудита в Обществе, конфликта интересов с Обществом любого рода, включая наличие связанности с акционерами Общества, лицами, контролирующими Общество, и акционерами его подконтрольных обществ <41>.
--------------------------------
<41> Пункт 265 Кодекса корпоративного управления.
Организационная структура, подотчетность и полномочия внутреннего аудита в Обществе
В случае принятия решения советом директоров об организации функции внутреннего аудита в самом Обществе организация внутреннего аудита, структура и штатная численность структурного подразделения внутреннего аудита определяется в зависимости от масштаба деятельности Общества и с учетом организационной структуры Общества.
С учетом целей и задач, масштаба деятельности Общества внутренний аудит может быть организован посредством:
- назначения руководителя внутреннего аудита - должностного лица Общества, отвечающего за организацию и осуществление внутреннего аудита в Обществе, и создания отдельного структурного подразделения внутреннего аудита, возглавляемого руководителем структурного подразделения. Для достижения целей внутреннего аудита рекомендуется определить непосредственную подчиненность руководителя структурного подразделения внутреннего аудита должностному лицу, отвечающему за организацию и осуществление внутреннего аудита в Обществе, - руководителю внутреннего аудита в Обществе;
- создания отдельного структурного подразделения внутреннего аудита, возглавляемого руководителем структурного подразделения, который отвечает за организацию и осуществление внутреннего аудита в Обществе (руководителем внутреннего аудита в Обществе).
При определении требований к руководителю внутреннего аудита рекомендуется руководствоваться положениями Профессионального стандарта "Внутренний аудитор" и особенностями организационной структуры Общества.
Во внутренних документах Общества рекомендуется закрепить, что руководитель внутреннего аудита в целях предотвращения конфликта интересов, обеспечения условий его независимости и объективности назначается на должность и освобождается от занимаемой должности единоличным исполнительным органом Общества на основании решения совета директоров, административно подотчетен единоличному исполнительному органу Общества и функционально - совету директоров Общества <42>.
--------------------------------
<42> Полномочия совета директоров в области внутреннего аудита рекомендуется определить в уставе Общества в соответствии с настоящими Рекомендациями.
Административная подотчетность означает:
- выделение необходимых средств в рамках утвержденного советом директоров Общества бюджета внутреннего аудита;
- получение отчетов о деятельности внутреннего аудита;
- оказание поддержки во взаимодействии с подразделениями Общества;
- администрирование политик и процедур деятельности внутреннего аудита.
Функциональная подотчетность означает:
- утверждение советом директоров политики внутреннего аудита;
- утверждение советом директором плана деятельности внутреннего аудита и одобрение бюджета на организацию и осуществление внутреннего аудита на отчетный период;
- информирование совета директоров о ходе выполнения плана деятельности внутреннего аудита в течение отчетного периода, но не реже одного раза в год <43>, в том числе обеспечение прямого доступа руководителя внутреннего аудита к председателю комитета по аудиту по вопросам деятельности внутреннего аудита;
--------------------------------
<43> Если иная периодичность не установлена в законодательстве Российской Федерации.
- утверждение советом директоров решения о назначении, освобождении от должности, а также определение вознаграждения руководителя внутреннего аудита;
- рассмотрение советом директоров существенных ограничений полномочий внутреннего аудита или иных ограничений, способных негативно повлиять на осуществление внутреннего аудита;
- рассмотрение советом директоров заключения о надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления в Обществе.
В целях обеспечения независимости и объективности внутреннего аудита совету директоров и единоличному исполнительному органу Общества рекомендуется исключить факторы, влекущие возникновение у руководителя внутреннего аудита, руководителя и работников структурного подразделения внутреннего аудита конфликта интересов любого рода, в том числе вызванного такими обстоятельствами, как:
- совмещение руководителем внутреннего аудита управления функциональными направлениями деятельности Общества, обществ, его контролирующих, и (или) его подконтрольных обществ, требующими принятия управленческих решений (включая членство в коллегиальных исполнительных органах);
- совмещение должности руководителя внутреннего аудита, руководителя структурного подразделения внутреннего аудита Общества с должностью руководителя внутреннего аудита или руководителя структурного подразделения внутреннего аудита в обществах, его контролирующих, и (или) его подконтрольных обществах;
- участие (членство) руководителя внутреннего аудита, руководителя и работников структурного подразделения внутреннего аудита Общества в органах управления Общества, обществ, его контролирующих, и (или) его подконтрольных обществ (советах директоров и его комитетах).
Кроме того, совету директоров и единоличному исполнительному органу Общества рекомендуется предусмотреть следующие меры, направленные на обеспечение независимости и объективности внутреннего аудита:
- в целом не рекомендуется, но в случае выполнения руководителем внутреннего аудита функций, находящихся вне сферы деятельности внутреннего аудита, а именно: управления рисками, внутреннего контроля, комплаенс-контроля, - совмещение руководителем внутреннего аудита вышеуказанных функций требует одобрения советом директоров Общества, при этом не допускается совмещение его должности с должностью руководителя структурного подразделения внутреннего аудита Общества, а также структурных подразделений, находящихся в его ведении;
- разграничение полномочий и обязанностей внутреннего аудита от деятельности других структурных подразделений Общества, а именно:
-- на руководителя структурного подразделения внутреннего аудита не могут быть возложены обязанности, не связанные с осуществлением внутреннего аудита в Обществе;
-- в состав структурного подразделения внутреннего аудита не могут входить подразделения и работники, деятельность которых не связана с осуществлением внутреннего аудита в Обществе;
- обеспечение объективности и независимости руководителя внутреннего аудита, руководителя и работников структурного подразделения внутреннего аудита в целях предотвращения потенциальных и существующих конфликтов интересов и предвзятого отношения, включая запрет на проведение проверки тех областей, за которые аудитор нес ответственность в течение года, предшествующего проверке;
- ежегодное подтверждение руководителем внутреннего аудита и руководителем структурного подразделения внутреннего аудита факта организационной независимости внутреннего аудита Общества.
К полномочиям работников Общества, осуществляющих внутренний аудит, целесообразно отнести, включая, но не ограничиваясь:
- беспрепятственный доступ (при соблюдении требований законодательства Российской Федерации) к документам, бухгалтерским записям, информационным ресурсам, материалам заседаний коллегиальных органов и другой информации о деятельности Общества в рамках выполнения своих должностных обязанностей, в том числе в электронной форме, ознакомление с проектами решений и решениями совета директоров и исполнительных органов Общества;
- право руководителя внутреннего аудита на участие в заседаниях совета директоров, его комитетов и заседаниях (совещаниях) исполнительных органов Общества;
- право производить при проведении аудиторских проверок фото- и видеофиксацию фактов хозяйственной деятельности Общества, запрашивать и получать доступ к активам <44>, а также проводить интервью, задавать работникам вопросы, необходимые для достижения целей аудиторской проверки;
--------------------------------
<44> Для инвентаризации, осмотра, проверки наличия, работоспособности, оценки их стоимости и иных мероприятий, связанных с осуществлением внутреннего аудита.
- использование информационных ресурсов и программного обеспечения Общества для целей внутреннего аудита;
- право привлекать сторонних экспертов для решения отдельных задач в рамках осуществления деятельности внутреннего аудита.
Профессиональные требования к работникам Общества, осуществляющим внутренний аудит
Профессиональные требования к работникам структурного подразделения внутреннего аудита целесообразно устанавливать с учетом требований Профессионального стандарта "Внутренний аудитор" <45>, а также видов деятельности, осуществляемых Обществом.
--------------------------------
<45> Утвержден приказом Министерства труда и социальной защиты Российской Федерации от 24.06.2015 N 398н.
По усмотрению Общества к кандидату на позицию руководителя внутреннего аудита и руководителя структурного подразделения внутреннего аудита может быть установлено дополнительное требование о наличии профильной сертификации (национальной и (или) международной).
Внутренний аудит в холдингах
В уставах подконтрольных обществ рекомендуется определить порядок принятия органами управления таких обществ решений об организации внутреннего аудита.
Внутренний аудит в подконтрольных обществах рекомендуется осуществлять, руководствуясь настоящими Рекомендациями.
Руководителю внутреннего аудита Общества рекомендуется информировать совет директоров (через комитет по аудиту) об организации внутреннего аудита в подконтрольных обществах, а также подготавливать позицию акционера по вопросам организации и функционирования внутреннего аудита в подконтрольных обществах с учетом применимых требований законодательства и регулирующих органов.
3.3. Обязанности внутреннего аудита
Для эффективного осуществления деятельности внутреннего аудита рекомендуется:
- осуществлять подготовку плана деятельности внутреннего аудита на отчетный период, включая риск-ориентированный план аудиторских проверок, определяющий приоритеты внутреннего аудита в соответствии с целями Общества;
- проводить внутренние аудиторские проверки на основании утвержденного плана аудиторских проверок, а также внеплановые проверки (в случае такой необходимости);
- проводить иные проверки по запросу совета директоров, комитета по аудиту и исполнительных органов Общества в пределах своих компетенций;
- осуществлять мониторинг выполнения в Обществе планов мероприятий по устранению недостатков и совершенствованию управления рисками и внутреннего контроля, а также корпоративного управления по результатам проведенных внутренних аудиторских проверок;
- предоставлять консультации совету директоров и исполнительным органам Общества по вопросам управления рисками, внутреннего контроля и корпоративного управления;
- взаимодействовать с внешним аудитором Общества, а также другими сторонами, осуществляющими проверки и оказывающими консультационные услуги в области управления рисками, внутреннего контроля и корпоративного управления;
- осуществлять подготовку отчета и информировать совет директоров (в том числе через комитет по аудиту) и исполнительные органы Общества в соответствии с установленной периодичностью, но не реже одного раза в год, о выполнении плана деятельности внутреннего аудита, о результатах оценки управления рисками и внутреннего контроля, корпоративного управления;
- информировать совет директоров (в том числе через комитет по аудиту) об организации внутреннего аудита в подконтрольных обществах, а также подготавливать позицию акционера по вопросам организации и функционирования внутреннего аудита в подконтрольных обществах с учетом применимых требований законодательства и регулирующих органов;
- разрабатывать нормативные документы Общества, регулирующие деятельность в области организации и осуществления внутреннего аудита, в том числе политику внутреннего аудита.
Планирование деятельности внутреннего аудита
Рекомендуется разработать на отчетный период план деятельности внутреннего аудита, определяющий приоритеты внутреннего аудита в соответствии с целями Общества. Периодичность формирования такого плана может определяться политикой внутреннего аудита с учетом необходимости проведения актуализации плана в случае существенных изменений деятельности Общества и результатов переоценки рисков.
В план деятельности внутреннего аудита рекомендуется включать риск-ориентированный план внутренних аудиторских проверок и прочие мероприятия внутреннего аудита.
Процесс планирования деятельности внутреннего аудита может включать следующие этапы:
- формирование (актуализация) стратегии аудита Общества, модели аудита Общества - структурированного перечня всех возможных объектов аудита. К объектам аудита могут относиться бизнес-процессы, бизнес-функции, проекты (инициативы), деятельность структурных подразделений, информационные системы и т.п.;
- использование результатов оценки рисков - проведение внутренним аудитом анализа возможности полагаться на реестр рисков Общества по итогам оценки эффективности управления рисками за предыдущий отчетный период либо путем дополнительного анализа (в том числе полноты выявленных рисков, качества описания и оценки рисков, эффективности процессов, используемых исполнительными органами Общества для мониторинга и отчетности по рискам и т.д.);
- ранжирование объектов аудита по уровню рисков с учетом результатов анализа рисков и дополнительных факторов, таких как цикл (периодичность) аудита, существенность влияния на результаты деятельности Общества объекта аудита, численность работников, текучесть кадров, изменения в деятельности объекта аудита, результаты предыдущей проверки данного объекта аудита и т.д.;
- анализ предложений и запросов, полученных от исполнительных органов и совета директоров Общества, в том числе анализ повестки заседаний совета директоров Общества и его комитетов;
- синхронизация характера, состава и сроков выполнения аудиторских проверок с другими подразделениями Общества, выполняющими проверки, направленные на оценку эффективности управления рисками и внутреннего контроля в рамках своих компетенций <46>, а также рассмотрение планов Общества по привлечению внешних организаций, оказывающих данные услуги;
--------------------------------
<46> См. далее п. 3.5 настоящих Рекомендаций.
- формирование риск-ориентированного плана внутренних аудиторских проверок с включением на выборочной основе объектов аудита из разных групп по уровню риска;
- формирование перечня заданий по консультированию;
- определение ресурсов (кадровых, информационных, материальных), необходимых для проведения проверок, выполнения заданий по консультированию;
- формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана внутренних аудиторских проверок, заданий по консультированию, а также других мероприятий внутреннего аудита, включая консультирование, мониторинг выполнения в Обществе планов мероприятий по устранению недостатков, нарушений и совершенствованию системы управления рисками и внутреннего контроля, корпоративного управления, разработанных по результатам аудитов, обучение и повышение профессиональной квалификации работников подразделения внутреннего аудита, взаимодействие с внешним аудитором Общества и иное. При этом проведение плановых внутренних аудиторских проверок является основной деятельностью внутреннего аудита.
Руководителю внутреннего аудита рекомендуется представить план деятельности внутреннего аудита на рассмотрение и утверждение совету директоров до начала отчетного периода. Вместе с планом деятельности руководитель внутреннего аудита может представить ресурсный план и бюджет, необходимый внутреннему аудиту для реализации данного плана. Утвержденный план деятельности внутреннего аудита доводится до сведения единоличного исполнительного органа.
Организация и проведение внутренних аудиторских проверок
До начала внутренней аудиторской проверки в структурном подразделении внутреннего аудита целесообразно:
- разработать программу проверки, включающую описание целей проверки, объем и содержание проверки, сроки ее проведения, характер и объем аудиторских процедур;
- утвердить программу проверки руководителем структурного подразделения внутреннего аудита;
- проинформировать представителей объекта аудита о планируемой проверке;
- при необходимости запросить у представителей объекта аудита информацию, необходимую для подготовки к проведению внутренней аудиторской проверки.
На основе полученной информации и реестра рисков Общества рекомендуется провести предварительную оценку рисков, относящихся к объекту аудита.
При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.
В объем и содержание проверки как минимум целесообразно включать:
- существенные риски объекта аудита;
- ключевые мероприятия по управлению рисками и отдельные контрольные процедуры объекта аудита (необходимый и достаточный набор мероприятий, контрольных процедур, который обеспечивает снижение рисков объекта аудита до установленного в реестре рисков Общества уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);
- виды деятельности, мероприятия по управлению рисками, контрольные процедуры, подлежащие проверке по запросу единоличного исполнительного органа и совета директоров.
Конкретный характер и объем аудиторских процедур, которые необходимо выполнить в ходе проведения проверки, включая анализ эффективности управления рисками, присущими объекту аудита, целесообразно определить в зависимости от целей проверки. Для получения более высокой степени уверенности в результатах проверки рекомендуется использовать комбинацию нескольких видов аудиторских процедур, включая методы анализа данных.
В ходе проверки по итогам выполнения аудиторских процедур на основании сформированных наблюдений, выявленных недостатков системы управления рисками и внутреннего контроля, а также корпоративного управления целесообразно сформулировать вывод об эффективности управления рисками и внутреннего контроля в отношении объекта аудита с учетом объемов проверки и разработать рекомендации по устранению недостатков.
Выводы и результаты, полученные по итогам выполнения внутренней аудиторской проверки, целесообразно подкрепить достаточным количеством надежных аудиторских доказательств, к которым можно отнести, например, копии подтверждающих документов, электронную переписку, документацию, сформированную в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров, результаты расчетов и т.п.) и иное. Все аудиторские доказательства рекомендуется документировать.
В рамках процесса сбора аудиторских доказательств внутренним аудиторам рекомендуется применять профессиональный скептицизм, чтобы оценить, является ли имеющаяся информация подходящей и достаточной для обеспечения разумной основы для формулирования выводов и (или) рекомендаций или требуется сбор дополнительной информации.
При формулировании выводов и результатов по итогам выполнения внутренней аудиторской проверки внутренними аудиторами может быть применено профессиональное суждение, основанное на анализе аудиторских доказательств. В отчет по итогам выполнения внутренней аудиторской проверки рекомендуется включать только те выводы, которые подтверждены надежными аудиторскими доказательствами.
Выводы могут включать, но не ограничиваться указанием на то, соответствуют ли цели и задачи деятельности объекта аудита целям и задачам Общества, достигаются ли цели и задачи Общества и функционирует ли проверяемый объект так, как запланировано.
Итоговой целью внутренней аудиторской проверки является выработка заключения (мнения) о том, насколько управление рисками и внутренний контроль объекта аудита надежны и эффективны, то есть обеспечивают ли способность объекта аудита достигать своих целей (вывод об эффективности системы управления рисками и внутреннего контроля на так называемом "микроуровне"). Методику формулирования вывода о надежности и эффективности управления рисками и внутреннего контроля целесообразно определить применительно к Обществу с учетом требований регулирующих органов, общепризнанных Международных профессиональных стандартов внутреннего аудита, а также настоящих Рекомендаций. В данной методике рекомендуется определить такой подход к проведению проверки, при котором по результатам выполнения плана аудитов за отчетный период внутренний аудит будет способен сформулировать комплексное мнение о надежности и эффективности системы управления рисками и внутреннего контроля, не ограничиваясь только отдельно взятыми компонентами управления рисками и внутреннего контроля, дизайном <47> или операционной эффективностью контролей.
--------------------------------
<47> Описание способа реализации контрольной процедуры.
Для оценки корпоративного управления и предоставления рекомендаций по его совершенствованию внутренние аудиторы могут применять различные подходы. Оценка может быть проведена в виде отдельного аудиторского задания или основываться на информации, полученной в результате оценки каждого из элементов корпоративного управления в рамках нескольких внутренних аудиторских проверок в течение отчетного периода. Кроме того, руководитель внутреннего аудита может использовать процедуры непрерывного мониторинга, в том числе путем мониторинга исполнения поручений единоличного исполнительного органа и совета директоров Общества.
На основе проведенных наблюдений и выводов внутренние аудиторы формулируют рекомендации по совершенствованию управления рисками и внутреннего контроля, а также корпоративного управления объекта аудита.
Информирование о результатах внутренних аудиторских проверок
По итогам внутренней аудиторской проверки оформляется отчет <48>, при подготовке которого руководителю внутреннего аудита рекомендуется определить такой уровень формализации и документирования, который является приемлемым для Общества. При этом в отчете рекомендуется как минимум отражать следующую информацию:
--------------------------------
<48> Требования к форме, а также периодичности составления указанного отчета могут быть установлены в рамках специального законодательства, регулирующего деятельность Общества.
- цели проверки;
- объем и содержание проверки - бизнес-процессы, информационные системы, проекты, операции и контрольные процедуры, которые были включены в объем проверки, характер и объем выполненных аудиторских процедур, а также дополнительную информацию, определяющую границы проверки (период проверки, области, не попавшие в периметр аудиторской проверки);
- положительные характеристики (оценки) управления рисками и внутреннего контроля объекта аудита (при их наличии);
- результаты проверки - наблюдения (включая выявленные недостатки и возможности для улучшения), выводы о надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления объекта аудита и рекомендации;
- ограничения в распространении и (или) использовании результатов проверки;
- мнение представителей объекта аудита, исполнительного руководства в отношении выводов и результатов проверки, в том числе при наличии разногласий с внутренним аудитом в отношении результатов проверки.
Отчет может быть подготовлен как на бумажном носителе, так и в электронной форме в зависимости от сложившейся в Обществе практики представления той или иной информации.
Отчет направляется работникам Общества, которые могут обеспечить должное рассмотрение результатов проверки и принять корректирующие меры, включая представителя объекта аудита. В отдельных случаях <49> руководитель внутреннего аудита может принять решение о направлении отчета на рассмотрение совету директоров без предварительного информирования исполнительного органа.
--------------------------------
<49> Например, в случае обнаружения индикаторов мошенничества, признаков заинтересованности лиц из исполнительного руководства, конфликта интересов.
В ходе внутренней аудиторской проверки могут подготавливаться промежуточные отчеты в целях информирования заинтересованных лиц о фактах, требующих незамедлительных действий (внимания), изменениях объема и содержания проверки, ходе выполнения проверки, если она выполняется длительное время. Использование промежуточных отчетов не уменьшает и не отменяет необходимости подготовки и предоставления отчета по итогам проверки.
Внутренними документами Общества могут быть определены условия, при которых руководитель внутреннего аудита может направлять отчет внешним заинтересованным сторонам (например, внешним аудиторам, консультантам). При этом руководителю внутреннего аудита, прежде чем передать отчет внешним заинтересованным сторонам, целесообразно:
- осуществить контроль распространения информации, устанавливая ограничения на ее использование;
- оценить возможные риски для Общества;
- проконсультироваться с исполнительными органами и (или) юридическим подразделением.
Если в отчете после его предоставления кругу заинтересованных лиц будут выявлены существенные ошибки и упущения, руководителю внутреннего аудита целесообразно оперативно довести исправленную информацию до сведения всех лиц, получивших отчет.
По итогам внутренней аудиторской проверки представителям объекта аудита рекомендуется подготовить план мероприятий, направленный на устранение замечаний, нарушений, недостатков и реализацию рекомендаций внутреннего аудита по совершенствованию системы управления рисками и внутреннего контроля, а также корпоративного управления (если применимо, исходя из целей проверки).
Представители объекта аудита могут принять аргументированное решение не предпринимать действий в отношении какого-либо из выявленных недостатков или рекомендаций внутренних аудиторов. В этом случае уполномоченному представителю объекта аудита рекомендуется довести данную информацию до сведения руководителя структурного подразделения внутреннего аудита. Решение вопроса о принятии риска не входит в сферу ответственности руководителя внутреннего аудита, а также руководителя структурного подразделения внутреннего аудита. Если по мнению внутреннего аудита объектом аудита принимается недопустимый для Общества риск, руководителю внутреннего аудита рекомендуется своевременно сообщить об этом единоличному исполнительному органу Общества и совету директоров, при необходимости.
Мониторинг выполнения планов мероприятий, разработанных по итогам проверки
Руководителю структурного подразделения внутреннего аудита рекомендуется разработать систему мониторинга выполнения планов мероприятий, подготовленных по результатам проверок, с целью подтверждения адекватности, эффективности и своевременности действий, предпринимаемых в Обществе для устранения недостатков, реализации рекомендаций и совершенствования СУРиВК Общества. Процессы мониторинга могут быть сложными или простыми в зависимости от ряда организационных факторов, включая размер и организационную структуру Общества, возможности использования ИТ-инструментов, развитость СУРиВК, и могут выбираться в зависимости от характера и масштабов деятельности Общества и иных факторов.
Основными инструментами мониторинга являются получение и анализ информации от объектов аудита о результатах выполнения плана мероприятий, а также проведение последующих аудитов для подтверждения эффективности реализованных мер.
Выполнение заданий по консультированию
К консультационным услугам внутреннего аудита в Обществе относится деятельность по предоставлению консультаций и рекомендаций, характер и содержание которой согласовываются со стороной, получающей консультации, нацеленная на оказание помощи и совершенствование корпоративного управления, управления рисками и внутреннего контроля, исключающая принятие внутренними аудиторами ответственности за управленческие решения. Задания по консультированию представляют собой особый вид аудиторских заданий.
До выполнения задания по консультированию структурному подразделению внутреннего аудита целесообразно обсудить цели такого задания со стороной, получающей консультации. Цели задания по консультированию, его содержание, объем и вопросы ответственности рекомендуется формулировать в письменном виде.
Если в процессе выполнения задания по консультированию у внутреннего аудита возникают вопросы в отношении объема и содержания задания, рекомендуется обсудить их со стороной, получающей консультации, в целях определения целесообразности продолжения выполнения задания. Отсутствие информации, достаточной для продолжения выполнения задания по консультированию, или сомнения в полезности результатов выполнения задания для Общества могут быть причинами приостановки выполнения задания по консультированию. По итогам выполнения задания по консультированию внутренний аудит также может формулировать существенные недостатки внутреннего контроля.
3.4. Информирование о результатах деятельности внутреннего аудита
В политике внутреннего аудита рекомендуется определить периодичность (не реже одного раза в год) информирования руководителем внутреннего аудита единоличного исполнительного органа Общества и совета директоров о деятельности внутреннего аудита. Руководитель внутреннего аудита информирует единоличный исполнительный орган и совет директоров Общества о деятельности внутреннего аудита, включая, но не ограничиваясь, следующими вопросами:
- целесообразность внесения изменений в политику внутреннего аудита Общества;
- подтверждение факта организационной независимости внутреннего аудита и отсутствия каких-либо фактов отрицательного воздействия на независимость и объективность;
- ограничения в необходимом объеме информации, ресурсах и другие обстоятельства, которые могут оказать влияние на способность внутреннего аудита выполнять свои обязанности;
- результаты выполнения программы обеспечения и повышения качества внутреннего аудита, включая информацию о соблюдении Международных профессиональных стандартов внутреннего аудита и плана мероприятий, направленного на соблюдение требований качества по всем существенным аспектам деятельности внутреннего аудита;
- представление к утверждению плана деятельности внутреннего аудита, ресурсного плана и бюджета внутреннего аудита, а также информации о существенных изменениях плана деятельности в течение отчетного периода;
- информирование о результатах выполнения плана деятельности внутреннего аудита, включая:
-- результаты выполнения отдельных внутренних аудиторских проверок с выводами об эффективности управления рисками и внутреннего контроля объекта аудита <50>, корпоративного управления (если применимо), о результатах и эффективности выполнения мероприятий по устранению выявленных недостатков, информацию о позиции исполнительных органов Общества по поводу принятого риска, который, по мнению руководителя внутреннего аудита, может быть недопустимым для Общества;
--------------------------------
<50> Заключение на "микроуровне".
-- заключение об оценке надежности и эффективности управления рисками и внутреннего контроля, а также эффективности корпоративного управления в Обществе <51>;
--------------------------------
<51> Заключение на "макроуровне" или заключение внутреннего аудита.
-- отчет о выполнении иных мероприятий, включенных в план деятельности внутреннего аудита.
Формирование заключения внутреннего аудита
Руководитель внутреннего аудита формулирует заключение внутреннего аудита по результатам оценки надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления Общества за определенный период времени (включая отчетный период). При подготовке заключения внутреннего аудита руководителю внутреннего аудита целесообразно принимать во внимание результаты выполнения внутренних аудиторских проверок, внеплановых аудиторских заданий, проверок, выполняемых другими подразделениями Общества, направленных на оценку управления рисками и внутреннего контроля, а также корпоративного управления, в рамках своих компетенций <52>.
--------------------------------
<52> См. далее п. 3.5 настоящих Рекомендаций.
Заключение внутреннего аудита отличается от выводов по итогам выполнения внутренних аудиторских проверок тем, что формулируется в отношении системы управления рисками и внутреннего контроля, а также корпоративного управления Общества в целом за период времени, выводы же относятся к итогам выполнения отдельной внутренней аудиторской проверки.
Структура и содержание заключения внутреннего аудита в различных обществах могут формироваться по-разному, в зависимости от принятых в Обществе правил представления материалов органам управления, их пожеланий и предпочтений по формату и оформлению. При этом в заключение внутреннего аудита рекомендуется включать следующую информацию:
- изложение итогового заключения о надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления в Обществе;
- описание подхода и критериев оценки управления рисками и внутреннего контроля, а также корпоративного управления, положенных в основу заключения внутреннего аудита;
- краткое содержание информации, подтверждающей заключение, и ее источники;
- описание объема внутренних аудиторских проверок, проведенных внутренним аудитом, с указанием периода времени, который охватывает заключение;
- описание объема смежных проверок, выполняемых другими подразделениями Общества. При использовании результатов таких проверок руководитель внутреннего аудита предварительно проводит оценку для определения степени, в которой сможет полагаться на работу других подразделений Общества;
- информацию об ограничениях, если они имели место в деятельности внутреннего аудита.
Если заключение внутреннего аудита является негативным, руководителю внутреннего аудита целесообразно привести причины, которые его обосновывают.
Внутреннему аудиту целесообразно разработать методику подготовки заключения внутреннего аудита применительно к Обществу с учетом требований законодательства Российской Федерации и регулирующих органов, Международных профессиональных стандартов внутреннего аудита, а также настоящих Рекомендаций.
В политике внутреннего аудита целесообразно закрепить положение о том, что руководитель внутреннего аудита несет ответственность за формирование заключения о надежности и эффективности управления рисками и внутреннего контроля, а также эффективности корпоративного управления в Обществе, в том числе за надежность и достоверность информации, на основе которой оно подготовлено.
В отдельных случаях совет директоров может поручить руководителю внутреннего аудита провести внешнюю независимую оценку заключения внутреннего аудита.
3.5. Взаимодействие внутреннего аудита с аудитором Общества, комитетом по аудиту, подразделениями Общества
Взаимодействие с аудитором Общества
Руководителю структурного подразделения внутреннего аудита рекомендуется осуществлять координацию взаимодействия внутреннего аудита с аудитором <53> Общества (внешний аудитор), включая, но не ограничиваясь, следующими вопросами:
--------------------------------
<53> Статья 4 Федерального закона от 30.12.2008 N 307-ФЗ "Об аудиторской деятельности".
- обсуждение планов деятельности внутреннего аудита и аудитора Общества с целью их координации и минимизации двойной работы;
- обмена информацией о результатах оценки надежности и эффективности управления рисками и внутреннего контроля Общества в части контроля за подготовкой бухгалтерской (финансовой) отчетности;
- анализа эффективности внедрения корректирующих мероприятий, направленных на устранение недостатков управления рисками и внутреннего контроля Общества, в том числе контроля за подготовкой бухгалтерской (финансовой) отчетности.
Взаимодействие с комитетом по аудиту
Рекомендации по взаимодействию внутреннего аудитора Общества с комитетом по аудиту Общества представлены в главе 3 настоящих Рекомендаций.
Взаимодействие со структурными подразделениями Общества
Руководителю структурного подразделения внутреннего аудита рекомендуется осуществлять координацию взаимодействия с другими подразделениями Общества, которые в рамках своих полномочий проводят проверки эффективности управления рисками и внутреннего контроля во вверенных им областях или консультирование подразделений и работников Общества <54>.
--------------------------------
<54> Например, подразделения управления рисками, комплаенс-контроля, охраны труда и промышленной безопасности, информационной безопасности, бухгалтерского учета и отчетности и др.
Руководителю структурного подразделения внутреннего аудита целесообразно определить круг таких подразделений, исходя из вида и объема информации, которая может быть ими предоставлена, характер которой позволяет внутреннему аудиту использовать ее при оценке надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления.
Для координации взаимодействия с такими подразделениями руководителю структурного подразделения внутреннего аудита рекомендуется составить порядок взаимодействия со структурными подразделениями Общества <55> путем соотнесения рисков (категорий риска) Общества с соответствующими внутренними подразделениями, осуществляющими проверки, и рейтинговой оценки рисков (или категорий риска), присвоенной внутренним аудитом.
--------------------------------
<55> Формирование порядка взаимодействия со структурными подразделениями Общества также могут инициировать и координировать другие субъекты СУРиВК (включая подразделения управления рисками и внутреннего контроля, владельцев бизнес-процессов, владельцев рисков).
Руководитель структурного подразделения внутреннего аудита может принять решение полагаться на работу других подразделений Общества в следующих случаях:
- при оценке надежности и эффективности управления рисками и внутреннего контроля, а также оценке эффективности корпоративного управления, в областях, не входящих в сферу знаний и компетенций работников структурного подразделения внутреннего аудита Общества;
- для увеличения охвата областей при формировании заключения внутреннего аудита о надежности и эффективности управления рисками и внутреннего контроля, а также эффективности корпоративного управления по Обществу в целом;
- для минимизации двойной работы в течение отчетного периода при планировании и осуществлении деятельности как структурного подразделения внутреннего аудита, так и подразделений Общества при проведении проверок.
Для принятия такого решения руководитель структурного подразделения внутреннего аудита разрабатывает критерии для оценки возможности полагаться на информацию и результаты работы других подразделений Общества, такие как:
- объективность соответствующего подразделения Общества, включая отсутствие у него конфликта интересов (или признаков конфликта);
- компетентность работников подразделения Общества;
- согласованное понимание терминологии, процедур и методов работы при проведении другими подразделениями Общества проверок и формировании их результатов.
3.6. Оценка деятельности внутреннего аудита
В политике внутреннего аудита к полномочиям руководителя внутреннего аудита рекомендуется отнести организацию текущего мониторинга и обеспечение периодического анализа внутреннего аудита в целях соблюдения высоких стандартов деятельности внутреннего аудита в Обществе, прежде всего соответствующих Международным профессиональным стандартам внутреннего аудита Института внутренних аудиторов. Указанные полномочия могут реализовываться как за счет внутренних ресурсов Общества, так и с привлечением внешних организаций.
Перечень мероприятий текущего мониторинга и порядок проведения оценки внутреннего аудита рекомендуется сформулировать и оформить в виде отдельного документа, утвержденного руководителем внутреннего аудита Общества (например, программа гарантий и повышения качества) <56>. Результаты исполнения такого документа, включая план корректирующих мероприятий, руководителю внутреннего аудита рекомендуется доводить до сведения единоличного исполнительного органа и совета директоров Общества не реже одного раза в год.
--------------------------------
<56> Рекомендуется применять разработанное Международным институтом внутренних аудиторов Руководство по оценке качества внутреннего аудита.
Текущий мониторинг и внутренняя оценка деятельности внутреннего аудита
К мероприятиям текущего мониторинга относятся, включая, но не ограничиваясь:
- контроль за выполнением внутренних аудиторских проверок, в том числе с применением средств автоматизации;
- применение стандартизированных практик работы структурного подразделения внутреннего аудита: процедуры планирования и выполнения внутренних аудиторских проверок, оформления рабочей документации, подготовки отчетов и др.;
- получение обратной связи от объектов аудита, исполнительных органов и совета директоров Общества;
- анализ выполнения ключевых показателей эффективности деятельности внутреннего аудита.
Внутреннюю оценку деятельности внутреннего аудита рекомендуется проводить не реже одного раза в год квалифицированным работником или группой работников структурного подразделения внутреннего аудита Общества, обладающих опытом применения Международных профессиональных стандартов внутреннего аудита и Международных основ профессиональной практики Института внутренних аудиторов.
Внутренняя оценка предусматривает более комплексный подход к анализу деятельности внутреннего аудита и помимо мероприятий, предусмотренных для текущего мониторинга, может включать:
- всесторонний анализ соответствия деятельности внутреннего аудита Общества Международным основам профессиональной практики Института внутренних аудиторов, включая Международные профессиональные стандарты внутреннего аудита и Кодекс этики <57>;
--------------------------------
<57> https://global.theiia.org/translations/Pages/Russian-Translations.aspx.
- сравнение с лучшими практиками внутреннего аудита;
- анализ вклада внутреннего аудита в процессы корпоративного управления, управления рисками и внутреннего контроля, а также степени соответствия ожиданиям исполнительных органов и совета директоров Общества.
Внешняя оценка деятельности внутреннего аудита
Внешняя оценка деятельности внутреннего аудита проводится с целью получения руководителем внутреннего аудита, исполнительными органами, советом директоров Общества и другими заинтересованными сторонами независимого мнения о качестве внутреннего аудита и возможности полагаться на заключение внутреннего аудита об оценке надежности и эффективности управления рисками и внутреннего контроля, а также эффективности корпоративного управления в Обществе.
Внешнюю оценку деятельности внутреннего аудита рекомендуется проводить с периодичностью, установленной советом директоров Общества в политике внутреннего аудита.
Обществу рекомендуется провести внешнюю оценку деятельности внутреннего аудита не позднее пяти лет с момента организации функции или, если такая оценка не была проведена в течение четырех предыдущих лет и далее с установленной периодичностью, - один раз в пять лет, один раз в три года или чаще (по решению совета директоров с отражением в политике внутреннего аудита).
В случае совмещения <58> руководителем внутреннего аудита функций, находящихся вне сферы деятельности внутреннего аудита, а именно: управления рисками, внутреннего контроля, комплаенс-контроля, - внешнюю оценку деятельности внутреннего аудита Общества рекомендуется проводить не реже одного раза в три года.
--------------------------------
<58> Допускается в исключительных случаях с учетом положений, определенных в настоящих Рекомендациях.
Внешняя оценка деятельности внутреннего аудита может проводиться с использованием одного из двух форматов:
- полная оценка внешним экспертом;
- подтверждение внутренней оценки внешним экспертом.
Если оценка деятельности внутреннего аудита проводится в Обществе впервые, рекомендуется проведение полной оценки внешним экспертом. В последующем может проводиться подтверждение внутренней оценки внешним экспертом, если, по мнению руководителя внутреннего аудита и комитета по аудиту Общества, преимущества от такой оценки (в том числе снижение финансовых издержек) превосходят выгоды от полной оценки внешним экспертом.
Выбор внешнего эксперта <59> для проведения внешней оценки рекомендуется осуществлять с учетом требований законодательства Российской Федерации, в соответствии с внутренними процедурами Общества по выбору поставщиков услуг, а также с учетом рекомендаций Международного института внутренних аудиторов в части проведения внешних оценок внутреннего аудита <60>.
--------------------------------
<59> Под внешним экспертом подразумевается организация или индивидуальный предприниматель, оказывающие подобные услуги.
<60> Рекомендуется принимать во внимание Международные профессиональные стандарты внутреннего аудита, а также разработанные Международным институтом внутренних аудиторов практические указания (Practice Advisories) 1312-1, 1312-2, 1312-4 относительно проведения внешней оценки.
Глава 4. Организация работы комитета по аудиту
4.1. Роль и цели деятельности комитета по аудиту
В обеспечении надлежащего качества и эффективности корпоративного управления Общества, в том числе достижения Обществом стратегических целей, создания и сохранения стоимости Общества и повышения его инвестиционной привлекательности, важную роль играет комитет по аудиту.
Основной целью деятельности комитета по аудиту является содействие совету директоров в эффективном выполнении функций контроля финансово-хозяйственной деятельности Общества, в том числе в части обеспечения:
- полноты, точности и достоверности бухгалтерской (финансовой) отчетности;
- эффективности корпоративного управления <61>, управления рисками и внутреннего контроля;
--------------------------------
<61> В случаях, когда для выполнения указанной функции не создан специальный комитет совета директоров по корпоративному управлению.
- эффективности внутреннего аудита;
- качества внешнего аудита;
- противодействия недобросовестным действиям работников Общества.
Комитет по аудиту осуществляет предварительное рассмотрение вопросов в целях информирования совета директоров и подготовки экспертного мнения и (или) рекомендаций по таким вопросам для рассмотрения на заседаниях совета директоров, а также рассматривает и (или) готовит материалы и (или) заключения по прочим вопросам по поручению совета директоров Общества.
В целях выполнения своих задач, определенных Кодексом корпоративного управления <62> и настоящими Рекомендациями, комитет по аудиту осуществляет взаимодействие с исполнительными органами управления Общества, руководителем внутреннего аудита, руководителем структурного подразделения внутреннего аудита, лицом (лицами), ответственным за организацию управления рисками и внутреннего контроля, иными должностными лицами, внешним аудитором Общества, а также привлекает при необходимости внешних экспертов, консультантов.
--------------------------------
<62> Пункт 172 Кодекса корпоративного управления.
4.2. Задачи комитета по аудиту
Перечень рекомендуемых мероприятий в целях реализации задач комитета по аудиту приведен в Приложении 2 к настоящим Рекомендациям.
В области бухгалтерской (финансовой) отчетности комитету по аудиту рекомендуется:
(1) Рассматривать и осуществлять анализ существенных аспектов учетной политики Общества, существенных изменений в учетной политике Общества, а также возможного влияния на финансовое положение Общества изменений в области учета и (или) отчетности и иных изменений в законодательстве (при наличии таковых), в том числе на основе аналитических обзоров, подготовленных исполнительными органами, заключений (замечаний) аудитора Общества;
(2) Осуществлять контроль полноты, точности и достоверности всех видов бухгалтерской (финансовой) отчетности Общества, включая промежуточную и годовую отчетность, а также осуществлять контроль надежности и эффективности организации процедур (или изменений в процедурах) подготовки отчетности в Обществе, в том числе оценку степени интегрированности (взаимосвязанности) процедур подготовки отчетности и бизнес-процессов Общества.
Контроль полноты, точности и достоверности бухгалтерской (финансовой) отчетности может осуществляться комитетом по аудиту на основе информации, подготовленной исполнительными органами Общества, а также с учетом материалов и заключений (замечаний), подготовленных аудитором Общества.
В ходе осуществления контроля полноты, точности и достоверности бухгалтерской (финансовой) отчетности комитету по аудиту рекомендуется рассматривать и анализировать в том числе, но не ограничиваясь:
- показатели бухгалтерской (финансовой) отчетности, формируемые на основе оценочных суждений;
- методы учета существенных или нехарактерных (нестандартных) операций и сделок, в том числе в случаях, когда стандарты бухгалтерского учета предусматривают возможность применения различных подходов для отражения таких операций и сделок в учете и (или) отчетности;
- информацию, раскрываемую в отчетах об итогах деятельности Общества относительно организации и осуществления управления рисками, внутреннего контроля, внутреннего аудита.
В случаях, когда комитет по аудиту приходит к заключению о том, что сведения, отраженные в бухгалтерской (финансовой) отчетности, являются неполными, неточными и недостоверными, комитету по аудиту рекомендуется проинформировать об этих фактах совет директоров.
(3) Проводить оценку влияния на финансовое положение Общества операций и сделок, активов и обязательств, отраженных на счетах внебалансового учета (если применимо).
(4) Осуществлять предварительное рассмотрение материалов в целях подготовки заключения (позиции) по вопросам об одобрении сделок, в совершении которых имеется заинтересованность, вынесенных на одобрение совета директоров.
В области управления рисками и внутреннего контроля комитету по аудиту рекомендуется:
(5) Осуществлять предварительное рассмотрение до утверждения советом директоров проекта политики в области управления рисками и внутреннего контроля Общества и вносимых последующих изменений;
(6) Рассматривать и формировать заключение в отношении риск-аппетита и его показателей до их представления на утверждение совету директоров;
(7) Инициировать (по мере необходимости, при изменении процедур и (или) применимых регуляторных требований) проведение оценки надежности и эффективности управления рисками и внутреннего контроля;
(8) Содействовать поддержанию эффективного взаимодействия и открытого диалога между подразделениями, ответственными за организацию управления рисками, внутреннего контроля и внутреннего аудита в Обществе, в том числе в рамках проведения оценки надежности и эффективности управления рисками и внутреннего контроля;
(9) Рассматривать и формировать для последующего предоставления совету директоров заключение в отношении результатов оценки эффективности управления рисками и внутреннего контроля, предложения (рекомендации) по совершенствованию организации управления рисками и внутреннего контроля на основании отчетов внутреннего аудитора, аудитора Общества.
В случае, когда в Обществе организованы и функционируют комитет по рискам и (или) иные комитеты совета директоров, которым делегированы полномочия в области управления рисками и внутреннего контроля в Обществе, комитету по аудиту рекомендуется осуществлять взаимодействие с указанными комитетами и (или) реализовывать возложенные на него функции в области управления рисками и внутреннего контроля в соответствии с утвержденным советом директоров разделением полномочий, исключающим их дублирование, между указанными комитетами и комитетом по аудиту.
В области проведения внутреннего аудита комитету по аудиту рекомендуется:
(10) До вынесения на рассмотрение совета директоров предварительно рассматривать проект политики внутреннего аудита Общества, а также последующие изменения в такую политику;
(11) На периодической основе (ежегодно и (или) чаще по мере необходимости) осуществлять оценку политики внутреннего аудита в Обществе, в том числе на предмет соответствия организации внутреннего аудита текущим потребностям Общества;
(12) Предварительно рассматривать предложения о назначении (освобождении от должности) руководителя внутреннего аудита, размере вознаграждения руководителя внутреннего аудита Общества, ключевых показателях эффективности руководителя внутреннего аудита;
(13) Предварительно рассматривать ежегодный план деятельности внутреннего аудита и бюджет подразделения внутреннего аудита;
(14) Оценивать условия осуществления в Обществе внутреннего аудита: наличие всех необходимых ресурсов, доступа к необходимой информации в Обществе, убеждаться в отсутствии ограничений или препятствий для выполнения функций внутреннего аудита в Обществе в соответствии с профессиональными стандартами аудиторской деятельности;
(15) Проводить оценку независимости и объективности внутреннего аудита;
(16) Обеспечивать возможность обращения руководителя внутреннего аудита Общества непосредственно к председателю и членам комитета по аудиту и председателю совета директоров;
(17) На ежегодной основе рассматривать результаты внутренней оценки функции внутреннего аудита, проводимой подразделением внутреннего аудита в соответствии с Международными профессиональными стандартами внутреннего аудита.
В ходе проведения ежегодной оценки внутреннего аудита комитету по аудиту рекомендуется проводить встречи с руководителем внутреннего аудита без присутствия представителей исполнительных органов управления Общества для обсуждения вопросов деятельности внутреннего аудита, рассматривать и оценивать ежегодный план деятельности внутреннего аудита, отчет о деятельности внутреннего аудита, а также оценивать роль и эффективность деятельности внутреннего аудита в области управления рисками и внутреннего контроля Общества.
(18) Рассматривать результаты внешней оценки внутреннего аудита Общества и представлять их совету директоров.
В области проведения внешнего аудита <63> комитету по аудиту рекомендуется:
--------------------------------
<63> Под термином "внешний аудит" ("аудит") в целях настоящих рекомендаций понимается аудит либо иная, проводимая аудиторской организацией в силу требований законодательства Российской Федерации проверка, вид и порядок проведения которой устанавливаются стандартами аудиторской деятельности.
(19) Разрабатывать и контролировать исполнение политики Общества, определяющей принципы оказания Обществу аудитором услуг аудиторского и неаудиторского характера, в том числе их совмещения;
(20) При согласовании подходов Общества к выбору аудитора (аудиторов) <64> Общества, определяющих принципы оказания аудитором услуг аудиторского и неаудиторского характера, в том числе их совмещения, и при контроле за их исполнением комитету по аудиту рекомендуется удостовериться в том, что:
--------------------------------
<64> Под термином "внешний аудитор" ("аудитор") в целях настоящих рекомендаций понимается аудиторская организация, проводящая аудит бухгалтерской (финансовой) отчетности Общества, аудиторские организации, проводящие аудит компонентов консолидированной финансовой отчетности Общества, участники аудиторских групп, аудиторские организации, входящие в одну сеть (группу) с аудитором Общества.
- установленные и применяемые Обществом критерии выбора аудитора и сам выбор аудитора ориентированы на качество аудита, основаны на оценке профессиональных навыков аудиторов, областей их экспертизы, технических компетенций, знания отрасли и достаточности ресурсов;
- выбор аудитора проводится с обеспечением независимости конкурсных процедур от органов управления и должностных лиц Общества, ответственных за составление бухгалтерской (финансовой) отчетности (в частности, с участием независимых директоров);
- аудитор является независимым в соответствии с действующим законодательством в области аудиторской деятельности;
(21) Формировать для совета директоров предложения по назначению, переизбранию и отстранению аудиторов Общества, по оплате их услуг и условиям их привлечения;
(22) При оценке потенциальных и действующих аудиторов Общества членам комитета по аудиту рекомендуется руководствоваться следующим:
Оценивать независимость, объективность и отсутствие конфликта интересов аудиторов Общества.
Независимость аудитора (как фактическая, так и воспринимаемая третьими лицами) <65>, в том числе от руководителей и иных должностных лиц Общества, от организаций, входящих в группу, в которую входят Общество и подконтрольные ему юридические лица, так же, как объективность аудитора, важны для обеспечения доверия пользователей бухгалтерской (финансовой) отчетности к аудиторскому заключению и лежат в основе качества аудита.
--------------------------------
<65> Согласно Правилам независимости аудиторов и аудиторских организаций, одобренным Советом по аудиторской деятельности 19 декабря 2019 г., независимость аудитора подразумевает:
а) независимость мышления, то есть такой образ мышления, который позволяет аудитору выразить мнение, не зависящее от влияния факторов, способных скомпрометировать профессиональное суждение аудитора, и действовать честно, проявлять объективность и профессиональный скептицизм;
б) независимость поведения, то есть такое поведение, которое позволяет избежать фактов и обстоятельств, настолько значимых, что разумная и хорошо информированная третья сторона, взвесив все факты и обстоятельства, может обоснованно посчитать, что честность, объективность или профессиональный скептицизм аудитора были скомпрометированы.
Комитету по аудиту рекомендуется проводить оценку независимости, объективности аудитора и отсутствия у него конфликта интересов <66> как при формировании рекомендации о выборе аудитора, так и далее на постоянной основе в соответствии с внутренним документом Общества, утвержденным советом директоров, содержащим методологию и процедуры такой оценки.
--------------------------------
<66> Конфликт интересов - ситуация, при которой заинтересованность внешнего аудитора может повлиять на его мнение о достоверности бухгалтерской (финансовой) отчетности Общества. Случаи возникновения у внешнего аудитора заинтересованности, которая приводит или может привести к конфликту интересов, а также меры по предотвращению или урегулированию конфликта интересов установлены Кодексом профессиональной этики аудиторов, одобренным Советом по аудиторской деятельности 21 мая 2019 года.
При оценке независимости аудитора рекомендуется рассматривать вопросы отсутствия имущественной, родственной или иной зависимости аудитора от Общества, его акционеров, руководителей и иных должностных лиц Общества, а также других лиц в случаях, предусмотренных Правилами независимости аудиторов и аудиторских организаций, одобренными Советом по аудиторской деятельности <67>.
--------------------------------
<67> Статья 16 Федерального закона от 30.12.2008 N 307-ФЗ "Об аудиторской деятельности".
(23) Следить за тем, чтобы аудитор предоставлял доказательства применения им профессионального скептицизма, особенно при рассмотрении таких областей суждений, как бухгалтерские оценки и учетная политика;
(24) Обеспечивать эффективное взаимодействие с аудиторами Общества.
Открытое, своевременное и содержательное взаимодействие (коммуникация) между аудитором и комитетом по аудиту способствует выполнению обязанностей как аудитором, так и комитетом по аудиту. Двустороннее взаимодействие дает возможность аудитору получить информацию, имеющую отношение к аудиту, а комитету по аудиту и совету директоров - контролировать процесс подготовки бухгалтерской (финансовой) отчетности общества, включая обеспечение полноты, точности и достоверности такой отчетности. Комитету по аудиту рекомендуется наладить прямое взаимодействие с аудитором Общества, в том числе в целях обсуждения сложных вопросов и рисков, связанных с подготовкой бухгалтерской (финансовой) отчетности, а также формирования понимания того, как выявленные проблемы и риски рассматриваются исполнительными органами и должностными лицами Общества, как они учитываются в ходе аудита.
(25) В рамках организации взаимодействия с аудитором рекомендуется:
- обеспечить протоколирование встреч и переговоров с аудитором;
- организовать возможность беспрепятственного обращения аудитора к комитету по аудиту и (или) его председателю;
- приглашать аудитора на регулярной основе для участия в заседаниях комитета по аудиту, особенно в тех случаях, когда обсуждаются существенные вопросы, связанные с подготовкой бухгалтерской (финансовой) отчетности. При необходимости на заседания комитета по аудиту могут быть приглашены члены аудиторской группы и привлекаемые аудитором эксперты, имеющие специальные (экспертные) знания в отдельных областях;
- проводить регулярные встречи с аудитором без присутствия лиц, отвечающих за подготовку бухгалтерской (финансовой) отчетности, и без информирования указанных лиц (включая исполнительные органы Общества) о состоявшемся обсуждении.
(26) На регулярной основе оценивать качество и эффективность взаимодействия с аудитором Общества.
Комитету по аудиту рекомендуется осуществлять контроль за проведением внешнего аудита и оценку качества выполнения аудиторской проверки и заключений аудиторов, тем самым обеспечивая уверенность совета директоров в том, что в отношении бухгалтерской (финансовой) отчетности Общества представлено содержательное, объективное и независимое заключение внешнего аудитора. В своей работе в области обеспечения качества внешнего аудита членам комитета по аудиту рекомендуется проявлять профессиональный скептицизм и критически относиться к информации, полученной от исполнительных органов и должностных лиц Общества, внешнего аудитора, а также к качеству, объективности и независимости внешнего аудита.
Дополнительные аспекты, которые рекомендуется учитывать при организации работы комитета по аудиту в части обеспечения качества внешнего аудита бухгалтерской (финансовой) отчетности Общества, приводятся в Приложении 3 к настоящим Рекомендациям.
В области противодействия недобросовестным действиям работников Общества комитету по аудиту рекомендуется:
(27) Обеспечить разработку (в случае отсутствия), оценку и пересмотр политики и процедур, направленных на выявление и противодействие недобросовестным действиям работников Общества, в том числе в части:
- искажения (намеренного искажения или неполного представления данных) показателей отчетов о финансовом положении Общества;
- совершения неправомерных действий с активами Общества (фальсификация документов, вывод средств, присвоение имущества и др.);
- совершения коррупционных действий (взяточничество, подкуп должностных лиц с целью оказания воздействия на принятие решений).
(28) Совместно с исполнительными органами управления Общества осуществлять контроль за реализацией в Обществе надлежащих процедур, обеспечивающих выявление и противодействие недобросовестным действиям работников Общества.
Комитету по аудиту рекомендуется обеспечить наличие механизмов, предоставляющих возможность доведения работниками Общества выявленных проблем до уровня исполнительных органов и совета директоров Общества.
(29) Осуществлять контроль соблюдения Кодекса этики (при наличии), а также контроль организации и эффективности функционирования системы оповещения о (потенциальных) фактах недобросовестных действий работников Общества.
В области управления конфликтом интересов комитету по аудиту рекомендуется:
(30) Обеспечить разработку (в случае отсутствия), оценку и пересмотр политики и процедур, направленных на управление конфликтом интересов;
(31) Осуществлять контроль за порядком реализации политики управления конфликтом интересов.
4.3. Формирование комитета по аудиту
Порядок формирования комитета по аудиту рекомендуется отразить в Положении <68> о комитете по аудиту и иных внутренних документах Общества, определяющих состав и порядок деятельности комитетов совета директоров.
--------------------------------
<68> Информационное письмо Банка России от 15.09.2016 N ИН-015-52/66 "О положениях о совете директоров и о комитетах совета директоров публичного акционерного общества".
Количественный состав и квалификационные требования к членам комитета по аудиту целесообразно определять в зависимости от масштаба, вида и специфики деятельности, бизнес-целей и профиля рисков Общества, а также в соответствии с рекомендациями Кодекса корпоративного управления <69> и настоящими Рекомендациями.
--------------------------------
<69> Принципы 2.8.1, 2.8.5, пункты 173, 174, 197 Кодекса корпоративного управления.
Комитет по аудиту рекомендуется формировать в количестве не менее трех членов.
Члены комитета по аудиту избираются из числа независимых членов <70> совета директоров Общества.
--------------------------------
<70> Принцип 2.4.1, пункты 101 - 107 Кодекса корпоративного управления.
При формировании комитета по аудиту рекомендуется учитывать количество избранных в состав совета директоров Общества независимых членов, а также рекомендации Кодекса корпоративного управления к составу указанного комитета <71>.
<71> В соответствии с принципом 2.8.1 Кодекса корпоративного управления рекомендуется создавать комитет по аудиту, состоящий из независимых директоров.
Основная роль в организации деятельности комитета по аудиту принадлежит его председателю, главной задачей которого является обеспечение объективности при выработке комитетом по аудиту рекомендаций совету директоров <72>. Не рекомендуется избирать председателем (членом) комитета по аудиту председателя совета директоров в связи со значительным объемом функций, возлагаемых на комитет по аудиту, а также избирать председателя комитета по аудиту председателем другого комитета совета директоров.
--------------------------------
<72> Пункт 201 Кодекса корпоративного управления.
При формировании комитета по аудиту рекомендуется исходить из подхода, обеспечивающего наличие в совокупности компетенции, опыта, навыков и знаний у членов комитета по аудиту, достаточного для комплексного и компетентного рассмотрения вопросов, связанных с осуществлением Обществом деятельности в соответствующем секторе (отрасли) экономики, и вынесения независимой экспертной оценки, в том числе при проведении оценки деятельности исполнительных органов управления и обеспечения надлежащего качества внутреннего и внешнего аудита Общества, с соблюдением следующих критериев:
члены комитета по аудиту обладают высокой репутацией, добросовестно выполняют свои обязанности и действуют в интересах Общества;
члены комитета по аудиту понимают принципы подготовки бухгалтерской (финансовой) отчетности, знают состав, структуру и содержание основных разделов бухгалтерской (финансовой) отчетности, а также обладают базовыми знаниями в области отраслевой индустрии Общества, управления деятельностью Общества, управления рисками и внутреннего контроля, аудита;
рекомендуется, чтобы по крайней мере один из независимых директоров - членов комитета по аудиту обладал опытом и знаниями в области подготовки, анализа, оценки и аудита бухгалтерской (финансовой) отчетности.
Совет директоров в течение срока его полномочий может принять решение о пересмотре персонального состава комитета по аудиту, в том числе на основании результатов самооценки и (или) внешней оценки качества работы комитета по аудиту.
4.4. Организация работы комитета по аудиту
Периодичность и сроки проведения заседаний
Председателю комитета по аудиту рекомендуется определять периодичность и сроки проведения заседаний комитета по аудиту в зависимости от объема и характера выполняемых задач и обязанностей, возложенных на комитет по аудиту. Заседания рекомендуется проводить с периодичностью, обеспечивающей системное, комплексное, полное и глубокое рассмотрение в течение календарного года вопросов, относящихся к компетенции комитета по аудиту. Предпочтительной формой проведения заседания комитета по аудиту является очная форма.
Заседания комитета по аудиту рекомендуется проводить в сроки, приближенные к основным срокам формирования бухгалтерской (финансовой) отчетности и аудиторского цикла.
Целесообразно предусмотреть интервалы времени между заседаниями комитета по аудиту и наиболее важными заседаниями совета директоров для того, чтобы члены комитета по аудиту имели возможность надлежащим образом выполнить работу по итогам проведения заседания комитета по аудиту и подготовить отчет совету директоров.
В заседаниях комитета по аудиту, как правило, принимают участие только председатель и члены данного комитета. Комитет по аудиту может принять решение о целесообразности участия лиц, не являющихся членами комитета по аудиту, в отдельных заседаниях комитета по аудиту или в обсуждении отдельных вопросов повестки дня заседания комитета по аудиту. На регулярной (периодической) основе для участия в заседаниях комитета по аудиту могут приглашаться финансовый директор, руководитель внутреннего аудита Общества, другие работники Общества, представитель внешнего аудитора Общества.
Обеспечение работы комитета по аудиту
Для предоставления комитету по аудиту необходимых и достаточных ресурсов для выполнения своих задач и обязанностей совет директоров рекомендуется обеспечить ресурсами и средствами, которые могут быть использованы комитетом по аудиту для привлечения независимых экспертов (советников) по правовым, финансовым и иным вопросам, в случаях, когда комитет по аудиту полагает привлечение таких специалистов необходимым.
Взаимодействие комитета по аудиту с советом директоров
Комитету по аудиту рекомендуется на постоянной основе осуществлять взаимодействие с советом директоров Общества и информировать совет директоров о результатах своей работы, в том числе:
о наиболее важных вопросах и (или) проблемных аспектах финансово-хозяйственной деятельности Общества, которые комитет по аудиту полагает необходимым довести до сведения совета директоров, а также предложениях о возможных решениях поставленных вопросов (обозначенных проблем);
о результатах оценки эффективности управления рисками и внутреннего контроля, внутреннего аудита, деятельности внешнего аудитора, а также о рекомендациях (предложениях) о назначении или замене внешнего аудитора;
о других вопросах, по которым совет директоров направлял запрос (запросы) о предоставлении экспертного мнения комитета по аудиту.
Комитету по аудиту рекомендуется самостоятельно инициировать рассмотрение наиболее важных вопросов, относящихся к компетенции комитета по аудиту. При этом каждый член комитета по аудиту имеет право инициировать проведение заседания комитета по аудиту и предлагать вопросы к рассмотрению.
В случаях, когда между комитетом по аудиту и советом директоров возникают разногласия по тому или иному вопросу, целесообразно организовать обсуждение на заседании совета директоров соответствующего вопроса в целях его разрешения и достижения консенсуса.
Отчет о работе комитета по аудиту
В целях информирования акционеров, инвесторов и иных заинтересованных лиц о работе комитета по аудиту рекомендуется <73> включать отчет о проведенной комитетом по аудиту работе в годовой отчет Общества и (или) иной отчет Общества, раскрываемый в соответствии с требованиями законодательства Российской Федерации.
--------------------------------
<73> Пункт 294 Кодекса корпоративного управления.
В отчете комитета по аудиту рекомендуется указывать следующую информацию:
краткое описание функций комитета по аудиту в соответствии с внутренними документами Общества;
персональный состав комитета по аудиту, информацию о квалификации и опыте каждого члена комитета по аудиту;
результаты оценки деятельности комитета по аудиту;
пояснения комитета по аудиту о результатах проведения оценки внутреннего аудита Общества;
наиболее важные вопросы, рассмотренные комитетом по аудиту, в том числе вопросы, связанные с подготовкой бухгалтерской (финансовой) отчетности Общества, вопросы, инициированные аудитором Общества.
Отчет рекомендуется формировать в краткой, но доступной для восприятия (понимания) форме, с указанием информации о существенных событиях (вопросах) в работе комитета по аудиту. При подготовке отчета комитету по аудиту не рекомендуется дублировать информацию, которая отражена в других разделах годового отчета Общества и (или) ином отчете Общества, раскрываемом в соответствии с требованиями законодательства Российской Федерации, но при этом в отчет рекомендуется включить информацию о существенных событиях (вопросах) в работе комитета по аудиту.
Оценка качества работы комитета по аудиту
Комитету по аудиту рекомендуется проводить на регулярной основе оценку качества работы комитета <74>.
--------------------------------
<74> Принцип 2.9 Кодекса корпоративного управления; Информационное письмо Банка России от 26.04.2019 N ИН-06-28/41 "О рекомендациях по организации и проведению самооценки эффективности совета директоров (наблюдательного совета) в публичных акционерных обществах".
В ходе проведения оценки качества работы комитета по аудиту рекомендуется рассматривать следующие аспекты:
независимость членов комитета по аудиту;
эффективность реализации комитетом по аудиту задач и функций, изложенных в настоящих Рекомендациях, определенных в положении о комитете по аудиту Общества;
понимание роли комитета по аудиту исполнительными органами, ключевыми работниками и внутренним аудитором Общества;
степень важности вопросов, которые были рассмотрены комитетом по аудиту во взаимодействии с внутренним аудитором, аудитором Общества, в том числе вопросов, позиция комитета по аудиту по которым расходится с мнением исполнительных органов и (или) совета директоров Общества.
Приложение 1
ПЕРЕЧЕНЬ
ВОПРОСОВ ДЛЯ ОЦЕНКИ ОРГАНИЗАЦИИ ОБЩЕСТВОМ УПРАВЛЕНИЯ
РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ, ВНУТРЕННЕГО АУДИТА В ЦЕЛЯХ
ОПРЕДЕЛЕНИЯ ПОДХОДА К ВНЕДРЕНИЮ РЕКОМЕНДАЦИЙ
В целях определения подхода к внедрению настоящих Рекомендаций предлагается рассмотреть нижеперечисленные вопросы, ответы на которые позволят Обществу сформировать оценочное понимание об организации управления рисками, внутреннего контроля, внутреннего аудита и степени соответствия настоящим Рекомендациям.
В случае отсутствия того или иного компонента управления рисками и (или) внутреннего контроля, практики организации управления рисками, внутреннего контроля, внутреннего аудита Обществу с учетом полномочий и компетенции органов управления рекомендуется рассмотреть вопрос о целесообразности их внедрения в деятельность Общества.
Вопросы, рекомендуемые к рассмотрению:
- Советом директоров определены принципы и подходы к организации в Обществе управления рисками, внутреннего контроля, внутреннего аудита.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Советом директоров утверждены внутренние документы Общества, определяющие политику в области управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Советом директоров утверждены внутренние документы Общества, определяющие политику внутреннего аудита.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Советом директоров определены полномочия органов управления Общества в области управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров рассматривает и одобряет стратегию Общества с учетом рисков.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров рассматривает и осуществляет мониторинг наиболее существенных рисков, которым подвержено Общество.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров утверждает и пересматривает риск-аппетит.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе утверждены внутренние документы, регламентирующие полномочия, обязанности и ответственность работников Общества, вовлеченных в управление рисками и внутренний контроль, а также порядок их взаимодействия в области управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе сформировано (сформированы) структурное подразделение (подразделения), ответственное (ответственные) за организацию управления рисками и внутренний контроль.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе регулярно проводятся мероприятия по повышению квалификации сотрудников в области управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе используются решения в области информационных технологий (методы автоматизации и цифровизации) при осуществлении внутреннего контроля, управлении рисками, осуществлении внутреннего аудита.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе установлена процедура предварительной оценки рисков в отношении новых проектов, продуктов, услуг, бизнес-линий, рынков.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе осуществляется на регулярной основе информирование органов управления и работников Общества, в том числе в форме консультаций, по вопросам применения (соблюдения) требований законодательства.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров осуществляет контроль деятельности исполнительных органов в части реализации политики в области управления рисками и внутреннего контроля, соблюдения уровня риск-аппетита.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров определяет ключевые показатели эффективности исполнительных органов, руководителей структурных подразделений, ключевых работников Общества с учетом результатов оценки эффективности управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров не реже одного раза в год рассматривает вопросы организации, функционирования, надежности и эффективности управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Общество проводит оценку надежности и эффективности управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров рассматривает не реже одного раза в год материалы и результаты оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе проводится внешняя оценка (с привлечением независимых экспертов) эффективности управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров рассматривает заключения внешней оценки эффективности управления рисками и внутреннего контроля (в случае проведения такой оценки).
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Решения совета директоров в области организации управления рисками и внутреннего контроля выполняются в установленные советом директоров сроки.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе сформирован комитет по рискам.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В Обществе сформирован комитет по аудиту.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Исполнительные органы Общества утверждают методологию по управлению рисками и внутреннему контролю.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Исполнительные органы Общества координируют организацию управления рисками, включая организацию процедур выявления, мониторинга, оценки рисков, осуществление контрольных процедур.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Бизнес-подразделения (владельцы рисков) на постоянной основе осуществляют управление рисками: выявляют, идентифицируют, оценивают риски, реализуют меры по снижению рисков, обеспечивают соответствие применяемых мер целям и задачам Общества, внедряют и выполняют контрольные процедуры.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Исполнительные органы Общества рассматривают по существу отчеты руководителей, ответственных за организацию и осуществление управления рисками и внутреннего контроля, о функционировании системы управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Исполнительные органы Общества инициируют оценку эффективности управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Исполнительные органы Общества рассматривают вопросы, связанные с развитием и совершенствованием системы управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Исполнительные органы Общества оказывают содействие внутреннему аудитору во взаимодействии со структурными подразделениями Общества в процессе проведения внутренних аудиторских проверок.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Внутренний аудит оценивает эффективность корпоративного управления.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Внутренний аудит оценивает надежность и эффективность управления рисками и внутреннего контроля.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В рамках внутреннего аудита осуществляется оценка эффективности деятельности Общества, соответствия организационной структуры стратегическим целям и бизнес-плану организации.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В случае организации функции внутреннего аудита в самом Обществе (а не с привлечением независимой внешней организации) структурное подразделение внутреннего аудита является обособленным.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров утверждает план деятельности внутреннего аудита и утверждает бюджет на организацию и осуществление внутреннего аудита на отчетный период.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров получает информацию о деятельности внутреннего аудита в течение отчетного периода, но не реже одного раза в год.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Внутренний аудит выполняет годовой риск-ориентированный план внутренних аудиторских проверок, утвержденный советом директоров.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Внутренний аудит предоставляет консультации совету директоров и исполнительным органам Общества по вопросам управления рисками, внутреннего контроля и корпоративного управления.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Совет директоров Общества утверждает решения о назначении, освобождении от должности, а также определяет вознаграждения руководителя внутреннего аудита.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Руководитель внутреннего аудита имеет прямой доступ к совету директоров.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- Руководитель внутреннего аудита на регулярной основе принимает участие в заседаниях совета директоров.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В случае выполнения руководителем внутреннего аудита функций, находящихся вне сферы деятельности внутреннего аудита, а именно: управления рисками, внутреннего контроля, комплаенс-контроля, - совмещение руководителем внутреннего аудита вышеуказанных функций одобрено советом директоров.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
- В практику работы совета директоров входит рассмотрение существенных ограничений полномочий внутреннего аудита или иных ограничений, способных негативно повлиять на осуществление внутреннего аудита.
Соблюдается
|
Частично соблюдается
|
Не соблюдается
|
Приложение 2
ПЕРЕЧЕНЬ
РЕКОМЕНДУЕМЫХ МЕРОПРИЯТИЙ В ЦЕЛЯХ РЕАЛИЗАЦИИ ЗАДАЧ
КОМИТЕТА ПО АУДИТУ
Мероприятие
|
Периодичность проведения
|
Формирование состава комитета по аудиту
|
|
Оценка (подтверждение) соответствия членов комитета по аудиту требованиям к статусу независимости членов комитета по аудиту
|
Постоянно
|
Оценка (подтверждение) компетенций и опыта членов комитета по аудиту квалификационным требованиям (в совокупности и индивидуально)
|
Ежегодно
|
Рассмотрение и формирование плана преемственности для членов комитета по аудиту (совместно с комитетом совета директоров по номинациям (назначениям, кадрам)
|
Ежегодно
|
Организация и проведение вводных программ для новых членов комитета по аудиту
|
По мере необходимости
|
Организация программ обучения (повышения квалификации) для членов комитета по аудиту
|
Постоянно/по мере необходимости
|
Общие вопросы деятельности комитета по аудиту
|
|
Рассмотрение и согласование проекта положения о комитете по аудиту (изменений к положению о комитете)
|
По мере необходимости
|
Формирование плана работы комитета по аудиту на год (с учетом положения о комитете по аудиту, задач, функций и обязанностей комитета по аудиту, поручений совета директоров)
|
Ежегодно
|
Подготовка отчета (отчетов) для совета директоров
|
К заседанию совета директоров, на которое вынесен вопрос в сфере компетенции комитета по аудиту/ежеквартально
|
Организация и проведение закрытых встреч с представителями исполнительных органов Общества для обсуждения вопросов, относящихся к компетенции комитета по аудиту
|
Не реже одного раза в квартал
|
Привлечение внешних экспертов (консультантов) по вопросам, относящимся к компетенции комитета по аудиту, в том числе определение размера и источников финансирования услуг внешних экспертов (консультантов)
|
По мере необходимости
|
Проведение оценки качества работы комитета по аудиту
|
Внутренняя самооценка - ежегодно, независимая оценка - не реже одного раза в три года
|
Обсуждение результатов самооценки деятельности комитета по аудиту на закрытом заседании комитета по аудиту и выработка плана мероприятий, направленных на совершенствование деятельности комитета по аудиту
|
Ежегодно
|
Рассмотрение вопросов, связанных с подготовкой бухгалтерской (финансовой) отчетности
|
|
Рассмотрение, в том числе совместно с исполнительными органами, вопросов о существенных изменениях в учетной политике Общества, влиянии на финансовое положение Общества изменений в области учета и (или) отчетности и иных изменений в законодательстве (при наличии таковых)
|
По мере необходимости
|
Оценка организации процедур подготовки внутренней отчетности и бухгалтерской (финансовой) отчетности Общества совместно с внутренним аудитором и аудитором Общества
|
По мере необходимости
|
Рассмотрение, в том числе совместно с исполнительными органами и внешним аудитором Общества, годового (промежуточного квартального) отчета о финансовом положении Общества
|
Ежеквартально
|
Рассмотрение материалов об операциях и сделках, в совершении которых имеется заинтересованность, предоставленных исполнительными органами, внутренним аудитором
|
По мере необходимости
|
Рассмотрение и анализ операций и сделок, активов и обязательств, отражаемых на внебалансовых счетах (если применимо)
|
Ежеквартально
|
Рассмотрение и обсуждение финансовой информации, публикуемой в пресс-релизах и (или) направляемой внешним адресатам (аналитическим и рейтинговым агентствам, государственным органам, участникам рынка)
|
По мере необходимости
|
Рассмотрение вопросов, связанных с организацией и осуществлением управления рисками и внутреннего контроля
|
|
Рассмотрение политики в области управления рисками и внутреннего контроля (изменений к ней)
|
По мере необходимости
|
Рассмотрение процедур управления рисками в деятельности Общества, осуществление наблюдения и оценки подверженности рискам
|
Раз в полгода
|
Рассмотрение и оценка существенных бизнес-проектов, IT-проектов и связанных с ними рисков, анализ возможного влияния данных рисков на финансовое положение Общества
|
По мере необходимости
|
Рассмотрение и обсуждение с ключевыми работниками Общества основных бизнес-процессов, сопутствующих им рисков и иных факторов, которые могут оказать негативное влияние на финансовое положение Общества
|
Раз в полгода
|
Рассмотрение вопросов, связанных с организацией внутреннего аудита
|
|
Подготовка предложений о назначении (пересмотр) кандидатуры руководителя внутреннего аудита Общества
|
По мере необходимости
|
Рассмотрение предложений о назначении (освобождении от должности), размере вознаграждения, ключевых показателей эффективности внутреннего аудитора (руководителя внутреннего аудита)
|
Ежегодно/по мере необходимости
|
Рассмотрение и предварительное согласование проекта политики внутреннего аудита Общества (изменений к ней)
|
По мере необходимости
|
Рассмотрение ежегодного плана работы внутреннего аудита
|
Ежегодно
|
Осуществление взаимодействия с руководителем внутреннего аудита Общества по вопросам организации и осуществления внутреннего аудита
|
Ежеквартально/по мере необходимости
|
Рассмотрение отчетов внутреннего аудита
|
Ежеквартально
|
Рассмотрение существенных ограничений полномочий внутреннего аудита или иных ограничений, способных негативно повлиять на осуществление функции
|
Ежегодно/по мере необходимости
|
Осуществление наблюдения за организацией и осуществлением внутреннего аудита, в том числе в части соответствия работников внутреннего аудита квалификационным требованиям, обеспечения необходимыми ресурсами, финансирования, планирования преемственности
|
Ежегодно
|
Рассмотрение вопросов, связанных с обеспечением качества внешнего аудита
|
|
Формирование политик и процедур по выбору аудитора Общества, рассмотрение вопросов их уточнения, необходимости пересмотра. Оценка эффективности процедур выбора аудитора Общества
|
Ежегодно
|
Подготовка предложений по назначению, переизбранию и отстранению аудиторов Общества, по оплате их услуг и условиям их привлечения
|
Ежегодно
|
Взаимодействие с аудиторами Общества, надзор за проведением внешнего аудита
|
Постоянно
|
Разработка (пересмотр) политики Общества, определяющей принципы оказания и совмещения аудитором Общества аудиторских услуг и иных услуг, отличных от аудита бухгалтерской (финансовой) отчетности
|
Единовременно (пересмотр - ежегодно/по мере необходимости)
|
Согласование предоставления внешними аудиторами Общества услуг, отличных от аудита бухгалтерской (финансовой) отчетности
|
По мере необходимости
|
Оценка независимости, объективности и отсутствия конфликта интересов внешних аудиторов Общества, качества и эффективности процесса внешнего аудита
|
При выборе внешнего аудитора
|
Рассмотрение вопросов, связанных с обеспечением противодействия недобросовестным действиям
|
|
Рассмотрение проекта политики по вопросам противодействия недобросовестным действиям работников (изменений к ней)
|
По мере необходимости
|
Оценка эффективности и контроль реализации процедур, направленных на выявление и противодействие недобросовестным действиям работников
|
Ежеквартально
|
Рассмотрение проекта кодекса этики (изменений к нему)
|
По мере необходимости
|
Контроль соблюдения положений кодекса этики
|
Ежегодно
|
Организация контроля эффективности функционирования системы оповещения о потенциальных фактах недобросовестных действий работников Общества
|
Ежегодно
|
Инициирование внутреннего или независимого расследования фактов недобросовестных действий работников
|
По мере необходимости
|
Приложение 3
ПЕРЕЧЕНЬ
ДОПОЛНИТЕЛЬНЫХ АСПЕКТОВ, КОТОРЫЕ РЕКОМЕНДУЕТСЯ УЧИТЫВАТЬ
ПРИ ОРГАНИЗАЦИИ РАБОТЫ КОМИТЕТА ПО АУДИТУ В ЧАСТИ
ОБЕСПЕЧЕНИЯ КАЧЕСТВЕННОГО ВНЕШНЕГО АУДИТА БУХГАЛТЕРСКОЙ
(ФИНАНСОВОЙ) ОТЧЕТНОСТИ ОБЩЕСТВА <75>
--------------------------------
<75> Приведенный перечень является примерным.
1. В рамках выработки предложений по назначению, переизбранию и отстранению внешнего аудитора:
1.1. Аудиторскую организацию рекомендуется определять по результатам проведения открытого конкурса, не реже чем один раз в пять лет.
1.2. Аудиторские организации не должны исключаться из конкурса только на основе масштаба деятельности, если они наилучшим образом отвечают критериям отбора и требованиям к качеству внешнего аудита и его независимости.
1.3. С целью выбора аудитора Общества рекомендуется:
- максимальную значимость стоимостных критериев оценки устанавливать на уровне не более 30% предельной величины значимости всех критериев оценки;
- предусмотреть возможность для аудиторских организаций, соответствующих критериям допуска к конкурсу (потенциальным аудиторам Общества), получить информацию о деятельности Общества и существенных рисках для определения характера, сроков и объема планируемых аудиторских процедур, а также требуемых для проведения аудита ресурсов и областей экспертизы.
1.4. Комитету по аудиту рекомендуется рассматривать факторы, влияющие на качество аудита, в том числе следующие:
- ориентированность внутренней корпоративной культуры аудиторской организации на качество аудита и применение профессионального скептицизма (например, является ли качество аудита ключевым фактором при оценке эффективности работы и определении вознаграждения аудиторов и лиц, контролирующих качество аудита Общества);
- понимание аудитором особенностей деятельности Общества, его операций, областей риска, имеющих отношение к бухгалтерской (финансовой) отчетности Общества, реагирование надлежащим образом на оцененные риски;
- проведение аудитором проверки (тестирования) значимых систем и контролей, обеспечивающих формирование бухгалтерской (финансовой) отчетности за конкретный год, а также вовлечение в аудит консолидированной финансовой отчетности аудиторов, проводящих аудит организаций, входящих в периметр консолидации консолидированной финансовой отчетности Общества;
- осуществление аудитором оперативного взаимодействия с комитетом по аудиту, советом директоров, подразделением внутреннего аудита Общества.
1.5. При оценке достаточности ресурсов, направляемых аудитором на проведение аудита (в том числе кадровых, временных, технических), комитету по аудиту рекомендуется в том числе убедиться в том, что:
- аудитор разработал общую стратегию и план аудита, в которых приняты во внимание все риски в деятельности Общества, известные членам комитета по аудиту;
- руководитель задания по аудиту, члены аудиторской группы, аудитор, осуществляющий проверку качества выполнения задания, обладают достаточным опытом и знаниями (в том числе отраслевыми, а также требуемыми для анализа оценочных значений) с учетом масштаба деятельности и структуры Общества, его операций, активов и обязательств, а также рисков в деятельности Общества;
- обеспечена достаточная вовлеченность в работу аудиторской группы более опытных аудиторов (в частности, руководителя задания по аудиту), предусматривается при необходимости использование аудитором внешних экспертов, обладающих необходимыми для проведения аудита опытом и экспертизой;
- аудитор имеет положительный опыт и возможности проведения аудиторской проверки в тех географических областях, где находятся подразделения, дочерние организации Общества;
- в аудиторской организации организована и функционирует система внутреннего контроля качества аудиторской деятельности, в том числе механизмы контроля и анализа качества аудита (включая аудит компонентов финансовой отчетности группы), механизмы, обеспечивающие сохранение независимости аудитора, недопущения действий, влекущих возникновение конфликта интересов или создающих угрозу возникновения такого конфликта у аудитора. Комитету по аудиту рекомендуется оценить, насколько эффективно сформирована система контроля качества в аудиторской организации (в том числе степень ответственности за качество аудита руководителей заданий и иных работников аудиторской организации).
1.6. Комитету по аудиту рекомендуется анализировать деловую репутацию аудитора, меры, предпринятые аудиторской организацией в ответ на результаты внешнего контроля качества ее работы.
1.7. При выборе аудитора не рекомендуется запрашивать у потенциальных аудиторов их мнение относительно спорных суждений или методов бухгалтерского учета, влияющих на финансовую отчетность Общества. Потенциальным аудиторам могут задаваться общие вопросы для того, чтобы удостовериться в компетентности аудитора, понимании им отраслевой специфики.
1.8. Комитету по аудиту рекомендуется получать от потенциальных аудиторов информацию о проведении ими процедур по выявлению и оценке обстоятельств и отношений, которые могут создавать угрозы независимости, а также заявление, подтверждающее, что по итогам проведения указанных процедур им не стало известно о каких-либо вопросах, затрагивающих их независимость.
1.9. Комитету по аудиту рекомендуется принимать во внимание наличие личных взаимоотношений с руководством аудиторской организации (контролирующими аудиторскую организацию лицами) у руководства Общества, иных лиц, занимающих в Обществе должности, позволяющие им оказывать влияние на организацию и ведение бухгалтерского учета Общества или на составление бухгалтерской (финансовой) отчетности, в отношении которой аудиторская организация будет выражать мнение.
1.10. В целях обеспечения независимости внешнего аудита комитету по аудиту рекомендуется принимать во внимание факторы, которые могут оказать влияние на независимость аудитора, в том числе сведения о наличии существенных интересов (взаимоотношений), связывающих внешнего аудитора с Обществом, например, оказание аудитором сопутствующих аудиту услуг и прочих связанных с аудиторской деятельностью услуг (выполнение которых не запрещается аудитору Общества) Обществу и (или) подконтрольным ему организациям.
Хорошей практикой может являться согласование комитетом по аудиту решений о привлечении аудитора Общества к выполнению указанных услуг, а также, в целях снижения потенциальной угрозы независимости аудитора Общества, приоритет привлечения для их выполнения иных организаций, обладающих необходимой квалификацией.
Комитету по аудиту рекомендуется разработать политику Общества по привлечению внешнего аудитора Общества для выполнения сопутствующих аудиту услуг и прочих связанных с аудиторской деятельностью услуг (выполнение которых не запрещается аудитору Общества) и контролировать ее исполнение.
1.11. При рассмотрении вопросов вознаграждения аудитора рекомендуется учитывать качество аудита, что должно являться приоритетом по отношению к сокращению расходов. Комитету по аудиту рекомендуется принимать во внимание, что недостаточное вознаграждение аудитора может создать угрозу того, что аудитор не получит достаточных и надлежащих аудиторских доказательств в поддержку своего мнения.
1.12. При рассмотрении вопросов вознаграждения аудитора комитету по аудиту рекомендуется оценить:
- соответствие стоимости аудита фактическим работам, требуемым для подготовки аудиторского заключения (соответствие вознаграждения за аудит общей стратегии аудита и плану аудита), без учета вознаграждения, которое может быть выплачено аудитору за предоставление других услуг;
- достаточность вознаграждения за аудит для проведения аудита, обеспеченного необходимыми ресурсами, с должной эффективностью. Комитету по аудиту рекомендуется принимать во внимание все риски, суждения и оценки, подлежащие рассмотрению аудитором, изменения в деятельности Общества, в требованиях к бухгалтерской (финансовой) отчетности Общества, отраслевые данные, которые могут быть использованы для сравнения. В случае снижения расходов на аудит комитету по аудиту рекомендуется оценить причины такого снижения;
- наличие любых признаков того, что качество аудита может снизиться при снижении вознаграждения за аудит, которое может повлечь недостаточность ресурсов для проведения аудита либо привести к выполнению неполного объема процедур, требуемых в соответствии со стандартами аудиторской деятельности, правилами независимости аудиторов и аудиторских организаций, кодексом профессиональной этики аудиторов.
1.13. Комитету по аудиту рекомендуется учитывать, что вознаграждение внешнего аудитора не может быть обусловлено выполнением требований Общества о содержании выводов в аудиторском заключении, а также не должно снижаться, если такое снижение может отрицательно сказаться на качестве аудита (например, из-за недостаточных ресурсов или объема выполняемой работы).
2. При оценке независимости и объективности аудитора:
2.1. Комитету по аудиту рекомендуется обсуждать с аудитором не реже одного раза в год вопросы, которые могут влиять на независимость аудитора, в том числе все существенные угрозы независимости и принятые аудитором меры для устранения таких угроз или сведения их до приемлемого уровня.
2.2. При рассмотрении вопроса о независимости аудитора рекомендуется рассмотреть все вопросы, которые могут повлиять на независимость и объективность аудитора, включая независимость аудитора от организаций, входящих в одну группу с аудируемым лицом, независимость аудиторов подконтрольных организаций, ассоциированных с компанией.
2.3. Комитету по аудиту рекомендуется предпринимать разумные меры для обеспечения того, чтобы при оценке корректности и объективности мнения аудитора в отношении сложных вопросов бухгалтерского учета (например, выбора учетной политики, величины оценочных значений) члены комитета по аудиту имели собственное понимание, учитывали свои знания об экономическом содержании сделок. В этих целях членам комитета по аудиту рекомендуется предоставить возможность обращаться за независимой консультацией к третьей стороне.
3. При взаимодействии с аудитором:
3.1. Комитету по аудиту рекомендуется в приоритетном порядке обсуждать с аудитором Общества:
- разработанную аудитором общую стратегию аудита и то, насколько она соответствует известным членам комитета по аудиту рискам, причины отклонения от общей стратегии и плана аудита;
- обстоятельства, которые могут оказать существенное влияние на достоверность бухгалтерской (финансовой) отчетности Общества (ключевые вопросы аудита), события и (или) условия, которые могут поставить под сомнение способность Общества непрерывно продолжать свою деятельность. Комитету по аудиту рекомендуется определить необходимость рассмотрения таких обстоятельств, событий и (или) условий исполнительными органами или советом директоров Общества;
- причины принятия аудитором решения об отказе от проведения аудита либо от выражения мнения о бухгалтерской (финансовой) отчетности (ее части).
3.2. Комитету по аудиту рекомендуется своевременно информировать аудитора (а также контролировать информирование аудитора должностными лицами Общества):
- о любых имеющих значение для проведения аудита рисках, решениях или проблемах, связанных с бухгалтерским учетом, системами и процессами подготовки бухгалтерской (финансовой) отчетности (недостатках внутреннего контроля) Общества, рисках противоправных действий для их учета аудитором при оценке рисков и проведении аудиторских процедур;
- об экономическом смысле сложных новых операций, которые могут повлиять на подходы к признанию или оценке объектов бухгалтерского учета;
- о письмах и ином взаимодействии с регулирующими органами, другими лицами по вопросам, которые могут оказать влияние на раскрываемую Обществом финансовую информацию.
3.3. Комитету по аудиту рекомендуется убедиться в том, что аудитор предоставляет письменные отчеты (сообщения) по ключевым вопросам и проблемам, в том числе информацию о выявленных аудитором недостатках в механизмах внутреннего контроля Общества, ошибках, а также вопросы, связанные с признанием и оценкой объектов бухгалтерского учета, с рисками нарушения нормативных требований. Кроме того, комитету по аудиту рекомендуется осуществлять контроль за своевременным рассмотрением ответственными лицами информации, содержащейся в письменных отчетах (сообщениях) аудитора, и применением соответствующих мер (при необходимости).
4. При оценке качества внешнего аудита:
4.1. В рамках оценки качества внешнего аудита комитету по аудиту рекомендуется проанализировать:
- построение процесса аудита, в том числе учет специфики деятельности Общества, его операций и областей риска (в том числе рисков, определенных комитетом по аудиту), применение профессионального скептицизма при оценке аудитором прогнозных и иных оценочных значений, положений учетной политики Общества;
- выполнение требований к системе контроля качества в аудиторской организации, обеспечивающей соблюдение аудиторской организацией, ее работниками и иными лицами, участвующими в проведении аудита Общества, требований стандартов аудиторской деятельности, правил независимости аудиторов и аудиторских организаций, кодекса профессиональной этики аудитора;
- информирование аудитором руководства Общества, комитета по аудиту, совета директоров Общества о ключевых аспектах, влияющих на бухгалтерскую (финансовую) отчетность, своевременность и ценность комментариев, представленных аудитором;
- раскрытие информации о контроле качества в аудиторской организации, обновление такой информации;
- меры, принятые аудитором для повышения качества аудиторских услуг, в том числе в ответ на меры дисциплинарного и иного воздействия в отношении аудиторской организации, аудиторов, являющихся (являвшихся) ее работниками. Для проведения такого анализа комитету по аудиту рекомендуется исследовать в том числе аналитические материалы органов, осуществляющих внешний контроль качества работы аудиторских организаций и аудиторов, содержащие обобщенные результаты наиболее часто выявляемых нарушений в деятельности аудиторских организаций.
4.2. При осуществлении надзора за проведением внешнего аудита и оценке качества выполнения аудиторской проверки комитету по аудиту рекомендуется рассмотреть также вопросы, связанные с привлечением аудитором внешних экспертов и иных аудиторов, в частности:
- понимать области, по которым аудитор привлекает внешних специалистов для получения дополнительного профессионального опыта или экспертизы, а также механизмы, обеспечивающие контроль качества работы таких специалистов;
- осуществить контроль, направленный на подтверждение того, что аудитор, используя результаты работы других аудиторов, выполнил необходимые процедуры, которые позволили ему удостовериться, что участие других аудиторов в проверке и их квалификация являются достаточными.