Политика с комментариями
Прежде чем читать предлагаемую политику, вспомните, что у каждого документа есть своя цель. В целях создания политики внутреннего контроля мы видим две принципиальные альтернативы: соблюдение внешних требований (законодательство, биржа) либо же реальное улучшение внутреннего контроля (воровства поменьше, эффективности побольше, информация покачественнее). Для сомневающихся подтвердим, что приведенные альтернативы – не одно и то же.
Этот документ написан исходя из представлений авторов о том, что может быть в политике внутреннего контроля, если задача функционирования системы внутреннего контроля – улучшение работы организации. Если у вас стоит задача соответствовать чему-то – ищите в интернетах. Скорее всего, Вы попали на эту страницу в поиске чего-нибудь о внутреннем контроле исходя из требований законодательства России. В этом случае рекомендуем использовать Приказ ФНС России №ММВ-7-15/509С от 16.06.17 «Об утверждении требований к организации системы внутреннего контроля». В процессе «адаптации» COSO IC IF для данного документа компонент «Информация и коммуникации» преобразовался в «Информационные системы», но для бухгалтеров – какая разница (вспоминается анекдот про три черепа Александра Македонского в лекции для колхозников). В случае необходимости соответствия чему-нибудь можно эту страницу не читать, а взять требования и переписать понравившиеся пункты исходного документа в новый документ под названием политика. Но можно и почитать, вдруг пригодится в жизни, но не применять.
Политика внутреннего контроля.
1. Общие положения.
1.1. Политика внутреннего контроля (далее – Политика) устанавливает термины и определения, цели и задачи, принципы и требования к компонентам внутреннего контроля в Компании.
1.2. Политика является обязательной для исполнения всеми сотрудниками Компании при осуществлении своей деятельности.
Комментарий
Можно добавить, что за несоблюдение политики сотрудники подвергаются общественному порицанию, обструкции, а в особо чувствительных случаях – анальной каре.
2. Термины и определения.
2.1. Компания –
Комментарий
Как и в политике управления рисками, определяется в каждом конкретном случае. Необходимо указать весь периметр (не только дочерние и зависимые общества).
Дальше – определения, связанные со внутренним контролем. Внутренний контроль – из COSO IC IF, система внутреннего контроля – из общего понимания, контрольная процедура – по мотивам COSO ERM.
2.2. Внутренний контроль – процесс, осуществляемый советом директоров, руководством и другим персоналом организации, направленный на обеспечение разумной уверенности в том, что будут достигнуты цели организации в части:
- эффективности и результативности операций;
- достоверности финансовой отчетности;
- соответствия деятельности действующему законодательству и внутренним нормативным актам.
2.3. Система внутреннего контроля (далее – СВК) – совокупность средств (организационной структуры, мер, методик, процедур и действий), с помощью которых осуществляется процесс внутреннего контроля.
2.4. Контрольная процедура – действие, обеспечивающее реагирование на риск.
Комментарий
Определение управления рисками нужно привести из-за того, что «Управление рисками» — одна из компонент COSO IC IF, которая будет описываться в дальнейшем.
2.5. Управление рисками или риск-менеджмент – скоординированные действия по управлению организацией с учетом риска.
3. Цели внутреннего контроля.
Комментарий
В целях внутреннего контроля мы отражаем требования к самой СВК, а в задачах внутреннего контроля – какие именно цели организации должны с помощью СВК достигаться. Можно в целях внутреннего контроля указать достижение целей организации, а в задачах перечислить основные методы. В дискуссии не вступаем, сами дискуссии (как показала практика) с высокой вероятностью станут похожи на обсуждение того, как резать лук. Что делать в конкретно Вашем случае – решайте сами.
Big4 любит оценивать систему внутреннего контроля по одному из 3-5 уровней. Названия – от «нулевого» / «базового» уровня (осознание отсутствует, процессы регламентированы) до «высокого» / «управляемого» уровня (все хорошо, включая автоматизацию контрольных процедур). Мы выбрали оптимизированный (оптимальный), можно взять конечный уровень («управляемая» СВК). Самый высокий уровень не берем, потому что он подразумевает полную автоматизацию контрольных процедур. Рекомендовать принимать столь повышенные обязательства перед самим собой считаем нецелесообразным.
3.1. СВК Компании должна обеспечивать:
3.1.1. Своевременное и полное выявление проблем (рисков) в деятельности.
3.1.2. Регламентацию и унификация основных процессов.
3.1.3. Регулярную оценку эффективности деятельности, в т.ч. эффективности СВК.
3.1.4. Наличие «обратной связи» (непрерывных улучшений).
Комментарий
Можно что-нибудь дополнить про корпоративную культуру.
4. Задачи внутреннего контроля.
Комментарий
Задачи взяли из определения внутреннего контроля с небольшим расширением (отдельно эффективность, отдельно результативность, отдельно сохранность активов).
4.1. Контроль достижения целей Компании.
4.2. Контроль эффективности достижения целей Компании.
4.3. Контроль достоверности всех видов отчетности (включая бухгалтерскую, статистическую, отраслевую, управленческую отчетность) и информации, используемой для принятия решений.
4.4. Контроль соблюдения требования законодательства и внутренних нормативных документов Компании, в т.ч. требований охраны труда, промышленной, информационной, экологической и личной безопасности.
4.5. Контроль сохранности активов.
Комментарий
Другой вариант – можно пойти от целей COSO ERM, в некоторых политиках встречается. Тоже неплохо выглядит.
5. Принципы внутреннего контроля.
Комментарий
Как и у любого поверхностного высокоуровнего документа, в этом необходима порция тезисов из серии «за все хорошее против всего плохого». Однако для политики внутреннего контроля присутствует безусловная практическая польза в этих тезисах: при критике существующей системы внутреннего контроля можно ссылаться на политику в форме «нарушены основополагающие принципы внутреннего контроля». Таким образом, апелляции в виде «а где написано, что я должен это делать», в разумной организации рассматриваться не будут, потому что хоть один принцип при неэффективной системе внутреннего контроля будет нарушен. Ниже перечислены принципы, которые можно включить. Их много, выбирайте понравившиеся. Возможно, когда-то сделаем конструктор политик внутреннего контроля (типа конструктора учетной политики в Консультанте).
5.1. Использование лучших практик, в частности, стандарта COSO IC IF. Возможно неполное следование лучшим практикам, если это соответствует интересам Компании.
Комментарий
Но помните, что доказать хорошесть и тем более лучшесть практик – задача нетривиальная.
5.2. Эффективность. СВК построена таким образом, что стоимость создания и поддержания СВК значительно ниже потенциальных рисков.
Комментарий
Не забудьте, что оценка стоимости СВК и оценка рисков – это оценки, точность которых гарантировать никто не может. Сравнить две приблизительные величины и сделать вывод – это, конечно, научно, но нифига не фен-шуй.
5.3. Непрерывность. СВК функционирует на постоянной основе.
Комментарий
Не забудьте, что впоследствии как-то нужно будет оценить эту непрерывность.
5.4. Комплексность (системный подход). СВК охватывает всю деятельность и все уровни управления Компании.
Комментарий
Отметим, что комплексность можно подтвердить только на момент определенной ревизии СВК! Пока описывали и настраивали, новый уровень раз – и возник.
5.5. Применимость. Возможность применения подходов к формированию эффективной СВК в различных по масштабу и видов деятельности юридических лицах, входящих в Компанию.
Комментарий
Принцип не особо обязательный, но в некоторых политиках встречается.
5.6. Вовлеченность. СВК функционирует при поддержке руководителей всех уровней управления и рядовых сотрудников.
Комментарий
Не забудьте, что, порой самая лучшая поддержка – это отсутствие саботажа.
5.7. Лидерство. Исполнительные органы и менеджмент Компании обеспечивают распространение в Компании знаний, навыков, а также эффективный обмен информацией для построения эффективной СВК.
Комментарий
С какой частотой, какими каналами и способами – это вопрос за скобками.
5.8. Интеграция. СВК является неотъемлемой частью системы корпоративного управления Компании и встроена во все бизнес-процессы Компании.
Комментарий
Не нужно думать, что принцип комплексности не соблюден, что если СВК не встроена в процесс утилизации использованной туалетной бумаги в организации, то это уже не СВК. См. ниже, а также раздел про контрольные процедуры в требованиям к компонентам внутреннего контроля.
5.9. Методологическое единство. СВК осуществляется на основании единых общекорпоративных принципов, подходов, норм и требований.
Комментарий
Хорошо, если общекорпоративные принципы вообще существуют.
5.10. Формализация. СВК формализована на уровне, достаточном для корректного и однозначного понимания всеми участниками СВК.
Комментарий
Имейте ввиду, что этот пункт заведомо недостижим ввиду невозможности выполнить однозначное понимание чего бы то ни было группой лиц, свыше одного человека.
5.11. Разумный подход к регламентации. Компания регламентирует функционирование СВК таким образом, чтобы объемы документирования и формализации были достаточны для эффективного функционирования СВК.
Комментарий
Но, поскольку, события по формализации отдельно взятого вопроса, внедрения этой формализации и получения обратной связи – растянуты во времени, то итеративное приближение к обозначенному балансу может потребовать бесконечно длинного временного отрезка.
5.12. Соответствие. СВК соответствует по уровню сложности процессам Компании.
Комментарий
Принцип из серии «все совсем хорошее против всего совсем плохого»…
5.13. Оптимальность. СВК необходима и достаточна для выполнения целей и задач внутреннего контроля.
Комментарий
Аналогично принципу комплексности – можно определить только для некоторого конкретного момента времени.
5.14. Ответственность. За каждый элемент СВК назначена ответственность, каждый сотрудник отвечает за функционирование определенных элементов СВК.
Комментарий
Поскольку в жизни без пересечения сфер ответственности практически никогда не обходится, пункт, мягко говоря, опять же не достижим.
5.15. Противодействие коррупции и мошенничеству. СВК обеспечивает эффективность программ по противодействию коррупции и мошенничеству в Компании.
Комментарий
Как минимум СВК должна ограничить объем средств, которые можно украсть безнаказанно в заданный момент времени (т.н. система бюджетирования).
5.16. Разделение уровня принятия решений. В зависимости от уровня выявленных отклонений от установленных критериев решения о корректирующих мероприятиях могут приниматься на разных уровнях управления.
Комментарий
Принцип не нужно интерпретировать странными образами: речь идет всего лишь о том, что чем больше отклонение, тем выше должны рассматриваться.
5.17. Своевременность. СВК настроена таким образом, чтобы выявленные отклонения от установленных критериев своевременно предоставлялись лицам, уполномоченным принимать соответствующие решения.
Комментарий
Тезис о том, что уполномоченные лица должны разрождаться решениями на основании отклонений не «когда-нибудь при случае», а хотя бы в «обозримой перспективе».
5.18. Профессионализм. Сотрудники Компании обладают необходимыми навыками и умениями для эффективного функционирования СВК.
Комментарий
Измерить это тяжело, но речь идет о принципах…
5.19. Мотивация. Оплата труда в Компании зависит от эффективности СВК.
Комментарий
Жуткий сон HR-а. Но в идеале — именно так и должно быть.
5.20. Ресурсное обеспечение. Компания обеспечивает участников СВК всем необходимым для выполнения ими своей роли. Участникам СВК предоставлены полномочия, время, обучение и ресурсы для обеспечения функционирования СВК.
Комментарий
Один из самых главных и наименее достижимых тезисов, противоречащих сути коммерческой деятельности любой организации. Задача бизнеса – затратить минимум, а получить максимум. В идеале СВК должна быть эффективной и без инвестиций. Так не бывает, но идея правильная.
5.21. Непрерывное совершенствование. СВК постоянно улучшается.
Комментарий
Однако для констатации неисполнения данного тезиса необходимо в течение года найти хотя бы одну секунду, кода СВК не улучшалась. Вероятность успешной находки – 100%, что означает выполнение тезиса с верояностью 0%.
5.22. Независимая оценка. Эффективность СВК оценивается независимым подразделением.
Комментарий
Важно не забыть, от кого такое подразделение должно быть независимым.
6. Требования к компонентам внутреннего контроля.
Комментарий
Берем COSO IC IF. Но, в отличии от большинства «стандартных» политик внутреннего контроля, пытаемся на человеческом языке рассказать, какие обязательные требования именно для нашей организации мы должны будем исполнить. Если кажется, что чего-то не хватает, по поиску можно найти кучу стандартных формулировок.
6.1. Контрольная среда.
6.1.1. В Совете директоров создан комитет, в обязанности которого входит регулярная оценка СВК.
Комментарий
Целесообразно написать, так как документ утверждается Советом директоров.
6.1.2. В Компании функционирует подразделение внутреннего аудита, которое регулярно оценивает СВК.
6.1.3. В Компании действует кодекс этики, обязательный для исполнения всеми сотрудниками.
6.1.4. Организационно-функциональная структура Компании построена по «принципу четырех глаз», который исключает исполнение одним лицом функций выполнения операций, отражения ее в учете и контроля.
6.1.5. Компания проявляет нетерпимость к коррупции и воровству.
Комментарий
Возможны варианты замены нетерпимости (безусловное наказание за выявленные случаи): терпимость (ситуативное наказание), избирательная терпимость (что положено Цезарю, не положено быку), индифферентность, различные степени поощрения (такие организации бывают, и не только в РФ). Если речь идет о последних двух – в политике можно не указывать.
6.1.6. Выявленные случаи коррупции и воровства в Компании ежеквартально доводятся до сведения Правления.
Комментарий
Речь идет о неких регулярных механизмах, которые, по нашему мнению, могут улучшить внутренний контроль: опубличивание выявленных случаев неправильного поведения сотрудников. Понимаем, что у этого метода есть негативные стороны. Цитата из Уникака: «Ну, хорошо, предположим, Мегасов с позором изгнан. Руководители других подразделений довольно быстро придут к выводу, что лучше наворовать за три-четыре месяца свой двадцатилетний доход и спокойно свалить, чем горбатиться на «Уникаке» до пенсии без ясных перспектив». Да и люди частенько воруют из-за несовершенства контроля, при внедрении процедур воровство минимизируется. Тем не менее, пункт может оказаться полезным: неважно, какой ты специалист, пойман – на выход. Включать или не включать – решать Вам.
6.1.7. В Компании функционирует «горячая линия».
6.1.8. В Компании проводятся «опросы при выходе».
Комментарий
Вроде банально, но, с нашей точки зрения, эти пункты гораздо продуктивнее для постановки СВК, чем «задание тона сверху» и прочая «вовлеченность».
6.1.9. В Компании ведется реестр выявленных недостатков СВК, в том числе выявленных случаев злоупотреблений и хищений, а также отчетность о принятых мерах.
6.2. Управление рисками.
Комментарий
Можно надергать принципов из системы управления рисками, можно объединить две политики (понравилось различие в политике ЛУКойла: управление рисками и внутренний контроль – примерно одно и то же, но управление рисками – про будущее, а внутренний контроль – про сейчас), ну и т.п. Здесь приведем сокращенный раздел «Инфраструктура управления рисками» из Политики управления рисками, для политики внутреннего контроля этого достаточно.
6.2.1. В управление рисками вовлечены все органы управления компании.
6.2.2. Для функционирования системы управления рисками разрабатывается Политика управления рисками, которая определяет инфраструктуру и процесс управления рисками.
Напомним, что политики управления рисками и внутреннего контроля можно объединить. Здесь исходим из того, что документы разные, соответственно, просто даем ссылку на Политику.
6.2.3. Управление рисками встроено в процессы управления Компанией, в т.ч. в процессы стратегического планирования, бюджетирования, инвестиционного планирования, закупок и изменения деятельности.
6.3. Контрольные процедуры.
6.3.1. Контрольные процедуры основаны на результатах оценки рисков.
6.3.2. В Компании применяются все типы контрольных процедур: превентивные, текущие, последующие.
6.3.3. Компания стремится использовать превентивные контрольные процедуры.
6.3.4. Для минимизации человеческого фактора Компания стремится использовать автоматизированные контрольные процедуры.
Комментарий
С одной стороны, тезис ни о чем, с другой стороны – смотрим принципы внутреннего контроля. Из принципов, на наш взгляд, однозначно следует преимущественная автоматизация контрольных процедур.
6.3.5. Контрольные процедуры могут быть разными в одном и том же процессе в зависимости от оценки риска.
6.3.6. Компания допускает отсутствие контрольных процедур по незначительным для Компании рискам. Критерии значимости устанавливаются руководством Компании.
Комментарий
Первый и два последних пункта являются залогом эффективной СВК: они ограничивают постановщика СВК в своих творениях. СВК создается только там, где нужно (а не потому, что мудрый аудитор порекомендовал), при этом СВК должна быть эффективной (а не потому, что мы хотим задолбать ей всех участвующих).
6.4. Информация и коммуникации.
6.4.1. Менеджменту всех уровней Компании для принятия решений доступны вся необходимая информация о СВК и результаты исполнения контрольных процедур.
6.4.2. Отчетность Компании для пользователей верхнего уровня (Совет директоров, Правление) содержит отчет о результатах исполнения контрольных процедур.
6.4.3. Компания имеет общее информационное пространство о результатах контрольных процедур.
Комментарий
Тезис достаточно простой: результаты исполнения контрольных процедур должны быть доступны не только владельцу этой самой процедуры (например, в виде файлика в формате Microsoft Excel на компьютере либо же записи в блокнотике), но и всем уровням управления.
6.4.4. Отчетность о СВК представляется в виде, удобном для конкретного пользователя («дружелюбный интерфейс»).
6.4.5. Отчетность о СВК предоставляется на регулярной основе, показатели отчетности сопоставимы.
6.4.6. Обеспечена сохранность информации, на основании которой формируется отчетность о СВК, в т.ч. сохранность программ и данных.
6.5. Мониторинг.
6.5.1. Компания осуществляет текущий мониторинг и периодические проверки СВК.
6.5.2. При выявлении неэффективности СВК Компания любой сотрудник информирует об этой неэффективности подразделение риск-менеджмента и внутреннего контроля.
Комментарий
При наличии. Если такого подразделения нет, то генерального директора – он ответственный за систему внутреннего контроля в целом.
6.5.3. Подразделение риск-менеджмента и внутреннего контроля осуществляет непрерывные улучшения СВК.
6.5.4. Внешний мониторинг СВК осуществляется не реже одного раза в 5 лет.
Комментарий
Если заметили, используется мало выражений типа «контрольные процедуры охватывают всю деятельность организации», хотя они есть в том же определении от COSO ERM. Все хорошее отражено в принципах, соответственно, для каждой компоненты не нужно описывать, что именно она должна быть всеобщей, эффективной и т.п.
7. Прочие положения.
7.1. Политика утверждается Советом директоров.
7.2. Инициаторами внесения изменений в Политику могут быть все члены Совета директоров и Правления, генеральный директор и его заместители, а также руководители подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита.
Комментарий
Отсутствуют разделы про «концепцию трех линий защиты» (распределение функций) и про описание самих процедур внутреннего контроля. Считаем ненужными: функционал более-менее следует из лучших практик, а описание процедур внутреннего контроля в обязательном порядке должно содержать «оценку дизайна», тестирование и т.п., без чего, в целом, можно жить. Тем не менее, во многих политиках данные разделы присутствуют, в интернете найти – не проблема.
Также обращаем ваше внимание, что при разработке политики по СВК, ваше видение должно быть синхронизировано с видением органов, посредством и с помощью которых вы будете все это внедрять, контролировать и фасилитировать. Иначе можно написать о том, что СВК для эффективности и контроля, а, возможно, от вас ждут регламентации и повышении эффективности коррупционных схем и максимизации объемов воровства. Или наоборот. В общем, будьте бдительны.
Политика без комментариев
Файл в формате Microsoft Word — здесь.
Политика внутреннего контроля.
1. Общие положения.
1.1. Политика внутреннего контроля (далее – Политика) устанавливает термины и определения, цели и задачи, принципы и требования к компонентам внутреннего контроля в Компании.
1.2. Политика является обязательной для исполнения всеми сотрудниками Компании при осуществлении своей деятельности.
2. Термины и определения.
2.1. Компания –
2.2. Внутренний контроль – процесс, осуществляемый советом директоров, руководством и другим персоналом организации, направленный на обеспечение разумной уверенности в том, что будут достигнуты цели организации в части:
- эффективности и результативности операций;
- достоверности финансовой отчетности;
- соответствия деятельности действующему законодательству и внутренним нормативным актам.
2.3. Система внутреннего контроля (далее – СВК) – совокупность средств (организационной структуры, мер, методик, процедур и действий), с помощью которых осуществляется процесс внутреннего контроля.
2.4. Контрольная процедура – действие, обеспечивающее реагирование на риск.
2.5. Управление рисками или риск-менеджмент – скоординированные действия по управлению организацией с учетом риска.
3. Цели внутреннего контроля.
3.1. СВК Компании должна обеспечивать:
3.1.1. Своевременное и полное выявление проблем (рисков) в деятельности.
3.1.2. Регламентацию и унификация основных процессов.
3.1.3. Регулярную оценку эффективности деятельности, в т.ч. эффективности СВК.
3.1.4. Наличие «обратной связи» (непрерывных улучшений).
4. Задачи внутреннего контроля.
4.1. Контроль достижения целей Компании.
4.2. Контроль эффективности достижения целей Компании.
4.3. Контроль достоверности всех видов отчетности (включая бухгалтерскую, статистическую, отраслевую, управленческую отчетность) и информации, используемой для принятия решений.
4.4. Контроль соблюдения требования законодательства и внутренних нормативных документов Компании, в т.ч. требований охраны труда, промышленной, информационной, экологической и личной безопасности.
4.5. Контроль сохранности активов.
5. Принципы внутреннего контроля.
5.1. Использование лучших практик, в частности, стандарта COSO IC IF. Возможно неполное следование лучшим практикам, если это соответствует интересам Компании.
5.2. Эффективность. СВК построена таким образом, что стоимость создания и поддержания СВК значительно ниже потенциальных рисков.
5.3. Непрерывность. СВК функционирует на постоянной основе.
5.4. Комплексность (системный подход). СВК охватывает всю деятельность и все уровни управления Компании.
5.5. Применимость. Возможность применения подходов к формированию эффективной СВК в различных по масштабу и видов деятельности юридических лицах, входящих в Компанию.
5.6. Вовлеченность. СВК функционирует при поддержке руководителей всех уровней управления и рядовых сотрудников.
5.7. Лидерство. Исполнительные органы и менеджмент Компании обеспечивают распространение в Компании знаний, навыков, а также эффективный обмен информацией для построения эффективной СВК.
5.8. Интеграция. СВК является неотъемлемой частью системы корпоративного управления Компании и встроена во все бизнес-процессы Компании.
5.9. Методологическое единство. СВК осуществляется на основании единых общекорпоративных принципов, подходов, норм и требований.
5.10. Формализация. СВК формализована на уровне, достаточном для корректного и однозначного понимания всеми участниками СВК.
5.11. Разумный подход к регламентации. Компания регламентирует функционирование СВК таким образом, чтобы объемы документирования и формализации были достаточны для эффективного функционирования СВК.
5.12. Соответствие. СВК соответствует по уровню сложности процессам Компании.
5.13. Оптимальность. СВК необходима и достаточна для выполнения целей и задач внутреннего контроля.
5.14. Ответственность. За каждый элемент СВК назначена ответственность, каждый сотрудник отвечает за функционирование определенных элементов СВК.
5.15. Противодействие коррупции и мошенничеству. СВК обеспечивает эффективность программ по противодействию коррупции и мошенничеству в Компании.
5.16. Разделение уровня принятия решений. В зависимости от уровня выявленных отклонений от установленных критериев решения о корректирующих мероприятиях могут приниматься на разных уровнях управления.
5.17. Своевременность. СВК настроена таким образом, чтобы выявленные отклонения от установленных критериев своевременно предоставлялись лицам, уполномоченным принимать соответствующие решения.
5.18. Профессионализм. Сотрудники Компании обладают необходимыми навыками и умениями для эффективного функционирования СВК.
5.19. Мотивация. Оплата труда в Компании зависит от эффективности СВК.
5.20. Ресурсное обеспечение. Компания обеспечивает участников СВК всем необходимым для выполнения ими своей роли. Участникам СВК предоставлены полномочия, время, обучение и ресурсы для обеспечения функционирования СВК.
5.21. Непрерывное совершенствование. СВК постоянно улучшается.
5.22. Независимая оценка. Эффективность СВК оценивается независимым подразделением.
6. Требования к компонентам внутреннего контроля.
6.1. Контрольная среда.
6.1.1. В Совете директоров создан комитет, в обязанности которого входит регулярная оценка СВК.
6.1.2. В Компании функционирует подразделение внутреннего аудита, которое регулярно оценивает СВК.
6.1.3. В Компании действует кодекс этики, обязательный для исполнения всеми сотрудниками.
6.1.4. Организационно-функциональная структура Компании построена по «принципу четырех глаз», который исключает исполнение одним лицом функций выполнения операций, отражения ее в учете и контроля.
6.1.5. Компания проявляет нетерпимость к коррупции и воровству.
6.1.6. Выявленные случаи коррупции и воровства в Компании ежеквартально доводятся до сведения Правления.
6.1.7. В Компании функционирует «горячая линия».
6.1.8. В Компании проводятся «опросы при выходе».
6.1.9. В Компании ведется реестр выявленных недостатков СВК, в том числе выявленных случаев злоупотреблений и хищений, а также отчетность о принятых мерах.
6.2. Управление рисками.
6.2.1. В управление рисками вовлечены все органы управления компании.
6.2.2. Для функционирования системы управления рисками разрабатывается Политика управления рисками, которая определяет инфраструктуру и процесс управления рисками.
6.2.3. Управление рисками встроено в процессы управления Компанией, в т.ч. в процессы стратегического планирования, бюджетирования, инвестиционного планирования, закупок и изменения деятельности.
6.3. Контрольные процедуры.
6.3.1. Контрольные процедуры основаны на результатах оценки рисков.
6.3.2. В Компании применяются все типы контрольных процедур: превентивные, текущие, последующие.
6.3.3. Компания стремится использовать превентивные контрольные процедуры.
6.3.4. Для минимизации человеческого фактора Компания стремится использовать автоматизированные контрольные процедуры.
6.3.5. Контрольные процедуры могут быть разными в одном и том же процессе в зависимости от оценки риска.
6.3.6. Компания допускает отсутствие контрольных процедур по незначительным для Компании рискам. Критерии значимости устанавливаются руководством Компании.
6.4. Информация и коммуникации.
6.4.1. Менеджменту всех уровней Компании для принятия решений доступны вся необходимая информация о СВК и результаты исполнения контрольных процедур.
6.4.2. Отчетность Компании для пользователей верхнего уровня (Совет директоров, Правление) содержит отчет о результатах исполнения контрольных процедур.
6.4.3. Компания имеет общее информационное пространство о результатах контрольных процедур.
6.4.4. Отчетность о СВК представляется в виде, удобном для конкретного пользователя («дружелюбный интерфейс»).
6.4.5. Отчетность о СВК предоставляется на регулярной основе, показатели отчетности сопоставимы.
6.4.6. Обеспечена сохранность информации, на основании которой формируется отчетность о СВК, в т.ч. сохранность программ и данных.
6.5. Мониторинг.
6.5.1. Компания осуществляет текущий мониторинг и периодические проверки СВК.
6.5.2. При выявлении неэффективности СВК Компания любой сотрудник информирует об этой неэффективности подразделение риск-менеджмента и внутреннего контроля.
6.5.3. Подразделение риск-менеджмента и внутреннего контроля осуществляет непрерывные улучшения СВК.
6.5.4. Внешний мониторинг СВК осуществляется не реже одного раза в 5 лет.
7. Прочие положения.
7.1. Политика утверждается Советом директоров.
7.2. Инициаторами внесения изменений в Политику могут быть все члены Совета директоров и Правления, генеральный директор и его заместители, а также руководители подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.