Москва
Мероприятия
Блог
Корзина
Регистрация Войти

Политика по внутреннему контролю и управлению рисками

1. Общие положения


1.1 Управление рисками – это важная и неотъемлемая часть стратегического планирования бизнеса и процедуры принятия решений ПАО «Софтлайн» (далее – Общество и/или Софтлайн), которая помогает в достижении целей и усиливает способность реагировать на возникающие вызовы. Настоящая Политика по внутреннему контролю и управлению рисками (далее – Политика) определяет цели, задачи и систему управления рисками и внутреннего контроля Общества.

Риск присущ всему, что мы делаем, и Софтлайн как развивающаяся организация должна осознавать свои риски, чтобы быть успешной и устойчивой. Чтобы быть эффективной, организация должна оценивать неопределенности и последствия из ряда различных вариантов, а также управлять влиянием последствий сделанного ею выбора. При правильном подходе эффективное управление рисками может также дать нам конкурентное преимущество; наши клиенты ищут партнера, которому они могут доверять, чтобы помочь им управлять своими собственными рисками, поэтому если мы будем управлять рисками лучше, чем наши конкуренты, это может помочь нам извлечь выгоду из возможностей для роста. 

1.2 Внутренний контроль – это процесс, осуществляемый Советом директоров Общества, руководителями и работниками на всех уровнях управления и направленный на получение разумной уверенности в том, что Общество обеспечивает эффективность и результативность своей деятельности. 

1.3 Как и во всех аспектах надлежащего управления, эффективность системы управления рисками и внутреннего контроля (далее также – СУРиВК) зависит от лиц, ответственных за функционирование созданных систем. Наша культура внутреннего контроля и управления рисками поощряет открытость, поддерживает прозрачность, приветствует конструктивные вызовы и способствует развитию сотрудничества, консультирования и взаимодействия.

2. Назначение настоящей политики и её целевая аудитория

2.1 Цель Политики – изложить основные требования к внутреннему контролю и управлению рисками Общества, сделав акцент на систему и структуру управления рисками и внутреннего контроля.

Политика предназначена для:
  • членов Совета директоров Общества;
  • руководства Общества;
  • специалистов по рискам и внутреннему контролю;
  • владельцев бизнес-рисков;
  • лиц, ответственных за внедрение политик.
2.2 Несмотря на то, что ключевые заинтересованные стороны, указанные выше, являются основой для эффективного руководства, управления рисками и внутреннего контроля, каждый сотрудник, независимо от своей должности, должен помнить о том, что СУРиВК является важным аспектом выполняемой им роли и корпоративной культуры Общества.

3. Цели и задачи СУРиВК

3.1 Целями СУРиВК являются:
  • обеспечение достаточной уверенности в достижении стоящих перед Обществом целей;
  • обеспечение эффективности финансово-хозяйственной деятельности Общества.
3.2 Основными задачами СУРиВК являются:
  • создание и совершенствование системы и нормативно-методологической основы для эффективного функционирования процесса внутреннего контроля и управления рисками;
  • интеграция процедур управления рисками и внутреннего контроля в стратегическую и операционную деятельность Общества, что позволит проактивно и своевременно реагировать на изменения ключевых факторов внешней и внутренней среды;
  • повышение информированности заинтересованных сторон о рисках и их влиянии на деятельность Общества;
  • уменьшение негативного влияния изменений ключевых факторов внешней и внутренней среды на достижение целей Общества;
  • обеспечение полноты и достоверности финансовой, статистической и управленческой отчетности Общества;
  • обеспечение сохранности активов Общества;
  • обеспечение контроля за соблюдением требований законодательства, а также внутренних нормативных документов Общества;
  • обеспечение приверженности Общества честности, открытости при ведении бизнеса и этическим ценностям.

4. Сфера применения политики

4.1 Управление рисками Общества должно рассматриваться в cвязке со стратегическими, тактическими и оперативными целями. Поэтому оно охватывает как внешние факторы, такие как воздействие окружающей среды бедствия или изменение законодательства, так и внутренние факторы, такие как наше лидерство и предоставление услуг. Подробный перечень факторов приведен ниже:

4.1.1 Факторы внешней среды:
  • политические;
  • экономические;
  • социальные;
  • технологические;
  • юридические (законодательство);
  • экологические.
4.1.2 Стратегические факторы:
  • эффективность управление;
  • взаимодействие с акционерами / заинтересованными лицами;
  • возникающие риски;
  • репутационные факторы.
4.1.3 Правовые / договорные / нормативные факторы:
  • риски со стороны партнеров, поставщиков и клиентов;
  • соглашения по интеллектуальной собственности;
  • договоры и пр.
4.1.4 Операционные факторы:
  • эффективность работы с персоналом (кадры);
  • процессинг;
  • работоспособность систем, в том числе в сфере информационной безопасности, цепочек поставок, финансов.

5. Принципы и структура СУРиВК

5.1 СУРиВК обеспечивает последовательное и надежное выявление и управление возможностями и рисками на желаемом уровне в рамках всей организации, поддерживая открытость, готовность к вызовам, инновациям и совершенству в достижении целей. Для того чтобы СУРиВК считалась эффективной, должны применяться следующие принципы:

5.1.1 Управление рисками и внутренний контроль должны быть неотъемлемой частью управления и руководства, а также основополагающим фактором того, как осуществляется руководство, управление и контроль организации на всех уровнях.

5.1.2 Обязанности и полномочия распределяются между субъектами (участниками) системы внутреннего контроля с целью снижения риска.

5.1.3 Управление рисками и внутренний контроль должны быть неотъемлемой частью всей организационной деятельности для поддержки процедур по принятию решений для достижения целей.

5.1.4 Стандарты и принципы, применяемые в системе управления рисками внутреннего контроля, должны быть едиными для всех подразделений Общества.

5.1.5 Внутренний контроль представляет собой непрерывный процесс, заключающийся в регулярной актуализации бизнес-процессов в соответствии с изменяющимися внутренними и внешними факторами. Управление системой внутреннего контроля должно постоянно совершенствоваться путем обучения и приобретения опыта всеми участниками процесса.

5.1.6 Управление рисками и внутренний контроль должны осуществляться на коллективной основе с использованием максимально полной информации и опыта всех участников процесса.

5.1.7 Эффективное и открытое взаимодействие и обмен информацией между всеми участниками системы управления рисками и внутреннего контроля являются важными и неотъемлемыми частями процесса управления рисками.

5.2 Структура управления рисками должна включать следующие этапы:

5.2.1 Выявление и оценка рисков для определения и расстановки приоритетов в управлении рисками.

5.2.2 Выбор, разработка и внедрение вариантов регулирования рисков, которые способствуют достижению намеченных результатов и обеспечивают управление рисками на приемлемом уровне.

5.2.3 Разработка и функционирование комплексного, глубокого и информативного мониторинга рисков.

5.2.4 Предоставление своевременной, точной и полезной отчетности о рисках для повышения качества принятия решений и поддержки руководства и надзорных органов в выполнении ими своих обязанностей.

6. Участники СУРиВК

6.1 Управление рисками и внутренний контроль является многоуровневым процессом, соответствующим организационной структуре Общества.

6.2 В компетенцию Совета директоров в области управления рисками и внутреннего контроля входят следующие полномочия:
  • определение принципов и подходов к организации в Обществе управления рисками (в том числе утверждение внутренних документов Общества, определяющих политику в этой области);
  • утверждение и пересмотр риск-аппетита;
  • рассмотрение и одобрение стратегии Общества с учетом рисков Общества;
  • рассмотрение и мониторинг наиболее существенных рисков, которым подвержено Общество;
  • рассмотрение отчетов единоличного исполнительного органа Общества о функционировании системы управления рисками и внутреннего контроля;
  • организация проведения не реже 1 (одного) раза в год оценки надежности и эффективности управления рисками и внутреннего контроля;
  • рассмотрение не реже 1 (одного) раза в год материалов и результатов оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля;
  • рассмотрение заключения внешней оценки эффективности управления рисками и внутреннего контроля в случае привлечения аудитора для проведения внутреннего аудита.
6.3 Комитет Совета директоров по аудиту (далее – Комитет по аудиту) отвечает за содействие Совету директоров в мониторинге общей системы управления рисками, процессов финансовой отчетности, этики и нормативно-правового соответствия, работы аудиторов и контроле за программой проведения аудиторской проверки. В компетенцию Комитета по аудиту входит контроль за надежностью и эффективностью функционирования СУРиВК.

На ежегодной основе Комитет по аудиту анализирует внешние, внутренние операционные, юридические риски и риски нормативно-правового несоответствия, с которыми сталкивается Общество (на основании информации, подготовленной операционным подразделением по управлению рисками) и утверждает список наиболее значимых «Рисков Общества».

Комитет по аудиту рассматривает меры по снижению применимых рисков и обсуждает возникающие риски во внешней или внутренней среде, а также проводит мониторинг надежности и эффективности функционирования системы внутреннего контроля.

6.4 Независимая оценка эффективности функционирования системы управления рисками и внутреннего контроля осуществляется Департаментом внутреннего аудита Общества. Оценка эффективности системы управления рисками и внутреннего контроля, в том числе, включает:
  • проведение анализа соответствия целей бизнес-процессов целям, проектов и структурных подразделений целям Общества, проверку обеспечения надежности и целостности бизнес-процессов (деятельности) и информационных систем, в том числе надежности процедур противодействия противоправным действиям, злоупотреблениям и коррупции;
  • выявление недостатков системы управления рисками и внутреннего контроля, которые не позволяют достичь поставленных целей;
  • проверку эффективности контрольных процедур и иных мероприятий по управлению рисками, включая эффективность использования выделенных на эти цели ресурсов;
  • оценку результатов реализации мероприятий по устранению нарушений, недостатков и совершенствованию системы управления рисками и внутреннего контроля;
  • проверку обеспечения достоверности бухгалтерской (финансовой), статистической, управленческой и иной отчетности, определение того, насколько результаты деятельности бизнес-процессов и структурных подразделений Общества соответствуют поставленным целям;
  • проверку эффективности и целесообразности использования ресурсов;
  • проверку обеспечения сохранности активов;
  • проверку соблюдения требований законодательства и внутренних документов;
  • проверку достаточности и состоятельности элементов системы управления рисками для эффективного управления рисками (цели и задачи, инфраструктура, организация процессов, нормативно-методологическое обеспечение, взаимодействие структурных подразделений в рамках системы управления рисками, отчетность);
  • проверку полноты выявления и корректности оценки рисков руководством Общества на всех уровнях его управления;
  • проверку эффективности контрольных процедур и иных мероприятий по управлению рисками, включая эффективность использования выделенных на эти цели ресурсов;
  • проверку эффективности мер реагирования на риски и их удержание в пределах риск-аппетита Общества;
  • проверку порядка сбора и обмена информацией о рисках внутри Общества для обеспечения надлежащего реагирования на риски;
  • проведение анализа информации о реализовавшихся рисках (выявленных по результатам внутренних аудиторских проверок нарушениях, фактах недостижения поставленных целей, фактах судебных разбирательств).
6.5 В рамках системы управления рисками и внутреннего контроля Генеральный директор
  • осуществляет контроль и мониторинг наиболее существенных рисков, которым подвержено Общество;
  • осуществляет контроль за надежностью и эффективностью функционирования СУРиВК;
  • осуществляет контроль процедур, обеспечивающих соблюдение Обществом требований законодательства.
6.6 Владельцы бизнес-процессов осуществляют следующие функции в области внутреннего контроля
  • создание структуры управления;
  • курирование, разработка и управление стратегией снижения Риска Общества;
  • утверждение или согласование совместно с операционным подразделением внутреннему контролю и нормативно правовому соответствию письменных стандартов и средств контроля;
  • надзор за реализацией стратегии внутреннего контроля и снижения риска в соответствии с четкими сроками;
  • отчетность о ходе реализации стратегии в области внутреннего контроля и снижения риска.

7. Структура управления внутренним контролем сформирована на основании концепции «3 линий защиты»

7.1 Первая линия защиты

Операционные подразделения формируют первую линию защиты с помощью механизмов контроля, отвечающих за внедрение элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Операционные подразделения являются владельцами рисков и несут ответственность за выявление, управление, снижение уровня рисков, анализ и формирование отчетности по ключевым рискам. Руководители операционных подразделений обязаны разработать, внедрить и обеспечить функционирование контрольных процедур в соответствующих бизнес-процессах.

7.2 Вторая линия защиты

Подразделения, отвечающие за внутренний контроль и управление в компании, разрабатывают и внедряют методологический подход к управлению рисками, определяют стандарты и координируют действия компании в области управления рисками, включая соответствующие процессы, технологии и культуру.

7.3 Третья линия защиты

Совет директоров оценивает и утверждает уровень рисков Общества с учетом стратегических целей и задач в области управления рисками. Комитет по аудиту помогает Совету Директоров осуществлять контроль над эффективностью системы внутреннего контроля и управления рисками организации.

Служба внутреннего аудита проводит независимую оценку качества действующих процессов управления рисками, выявляет нарушения, даёт предложения по совершенствованию системы внутреннего контроля и управления рисками. Под надзором Комитета по аудиту служба внутреннего аудита проводит мониторинг функций первой и второй линий защиты, а также осуществляет контроль выполнения корректирующих мероприятий по совершенствованию системы управления рисками.

УТВЕРЖДЕНО
Советом директоров ПАО «Софтлайн» 10 марта 2023 г. (Протокол № 2/23 от 13 марта 2023 г.)


Каждый Softliner обязан

  • Признавать и применять принципы, изложенные в настоящих BCG

  • Соблюдать данные политики и правила Softline, а также законы, связанные с ними

  • Действовать в соответствии с принципами. Если вы не уверены, как действовать, пожалуйста, спросите своего менеджера

  • Сообщать о любых возможных нарушениях КБК, политики, законов и нормативных актов

Подробнее о нашей компании