Система внутреннего контроля АО «НАК «Казатомпром» Правила 1. Назначение Настоящие Правила «Система внутреннего контроля АО «НАК «Казатомпром» (далее – Правила) определяют понятие, цели и задачи системы внутреннего контроля, принципы функционирования, ключевые области и основные компоненты системы внутреннего контроля, процедуры внутреннего контроля при осуществлении деятельности АО «НАК «Казатомпром» (далее – Общество), компетенции и ответственность субъектов внутреннего контроля по исполнению процедур внутреннего контроля и оценке системы внутреннего контроля в Обществе. 2. Сфера действия Настоящие Правила распространяются на должностных лиц и работников всех уровней управления и деятельности Общества, структурные подразделения, а также на других участников внутреннего контроля и заинтересованные стороны. 3. Общие положения Настоящие Правила являются внутренним документом Общества и разработаны в соответствии с Типовым положением о системе внутреннего контроля организаций, более пятьюдесятью процентами голосующих акций (долей участия) которых прямо или косвенно владеет АО «Самрук-Казына», утвержденным решением Правления АО «Самрук-Казына» от 13 декабря 2013 года протокол №67/13, и положениями Комитета спонсорских организаций Комиссии Тредвея (COSO). Настоящие Правила определяют внутренний контроль как процесс, осуществляемый участниками системы внутреннего контроля с целью достижения поставленных задач по трем ключевым областям: – операционная деятельность; – подготовка финансовой отчетности; – соблюдение нормативных законодательных требований. Система внутреннего контроля является неотъемлемой частью системы корпоративного управления, охватывает все уровни управления, все внутренние процессы и операции Общества. Организация системы внутреннего контроля предусматривает построение Обществом системы управления, способной быстро реагировать на процессные риски, осуществлять контроль над основными и вспомогательными процессами и ежедневными операциями Общества. Надежное и эффективное функционирование системы внутреннего контроля требует вовлечения и постоянного взаимодействия в рамках внутреннего контроля должностных лиц и работников всех уровней Общества. В соответствии со специфической направленностью, СВК Общества организована на основе процессного подхода. 4. Термины и определения Система внутреннего контроля (СВК) Совокупность организационной структуры, процедур и действий, направленных на обеспечение Обществом своих целей и минимизацию процессных рисков при осуществлении деятельности. Процесс Совокупность взаимосвязанных и последовательных действий (работ) по достижению какого-либо заданного результата, включая процессы жизненного цикла продукции. Владелец процесса Руководитель структурного подразделения, осуществляющий управление процессом, имеющий в своем распоряжении все необходимые ресурсы для выполнения процесса (персонал, оборудование, инструменты, производственную среду, информацию и т.д.), и отвечающий за результативность и эффективность процесса. Владелец процесса также является владельцем рисков процесса и отвечает за организацию выполнения контрольных процедур. Участник процесса Структурное подразделение, участвующее в общем процессе (процесс, выполняемый несколькими структурными подразделениями), содействующее Владельцу процесса в организации общего процесса, в рамках функционального направления структурного подразделения и в соответствии с утвержденными внутренними организационными документами. Контрольная процедура Совокупность действий и мероприятий, направленных на исключение (снижение) вероятности реализации процессных рисков, совершенствование системы внутреннего контроля в Обществе и предпринимаемые в этой связи действия. Процессный подход Любая деятельность или комплекс деятельности, в которой используются ресурсы для преобразования входов в выходы, может рассматриваться как процесс. Чтобы результативно функционировать, организации должны определять и управлять многочисленными взаимосвязанными и взаимодействующими процессами. Систематическая идентификация и менеджмент применяемых организацией процессов, и особенно взаимодействия таких процессов, могут считаться «процессным подходом». Процессный риск Потенциальное несоответствие или другая нежелательная ситуация в ходе выполнения процесса, влекущая за собой негативные последствия. Матрица рисков и контролей процесса Таблица, содержащая описание процессных рисков и контрольных процедур. Блок-схема процесса Графическое изображение процесса с кратким описанием, дающее представление о ключевых элементах процесса, рисках и контрольных процедурах. 5. Цели и задачи системы внутреннего контроля Внутренний контроль направлен на обеспечение разумной уверенности в достижении Обществом стратегических и операционных целей и реализуется путем организации в Обществе системы внутреннего контроля, основными задачами которой являются: 1) контроль над рисками процессов и ежедневными операциями Общества для: – повышения эффективности операционной деятельности; – обеспечения сохранности активов и эффективного использования ресурсов; – обеспечения полноты, надежности и достоверности финансовой и управленческой отчетности; – соблюдения требований законодательства Республики Казахстан и внутренних нормативных документов; – снижения вероятности возникновения процессных рисков и размера возможных потерь; – контроля за эффективным функционированием основных и вспомогательных процессов; – содействия в построении оптимальной организационной структуры. 2) информирование руководителей соответствующего уровня о любых существенных недостатках и областях для улучшения в системе внутреннего контроля. 6. Организация системы внутреннего контроля 6.1. Принципы системы внутреннего контроля Система внутреннего контроля в Обществе строится на следующих принципах: целостность: система внутреннего контроля является неотъемлемым компонентом системы управления Общества на всех ее уровнях; комплексность: система внутреннего контроля охватывает все направления деятельности Общества, контрольные процедуры выполняются во всех процессах Общества на всех уровнях системы управления; непрерывное функционирование – постоянное и надлежащее функционирование системы внутреннего контроля, которое позволяет своевременно предотвращать и выявлять любые отклонения от запланированных данных; ответственность: все субъекты системы внутреннего контроля несут ответственность за надлежащее исполнение контрольных процедур в рамках своих полномочий, закрепленных во внутренних документах Общества; разделение обязанностей: Общество руководствуется принципом неделимости ответственности (ответственность за исполнение каждой отдельной контрольной процедуры закреплена только за одним участником системы внутреннего контроля) и разграничения контрольных функций (функции распределяются между должностными лицами и работниками Общества таким образом, чтобы одно и то же лицо не объединяло функций, связанных с утверждением операций с определенными активами, учетом операций, обеспечением сохранности активов и проведением их инвентаризации); отчетность участников системы внутреннего контроля: качество и своевременность выполнения задач и обязанностей каждым задействованным лицом системы внутреннего контроля контролируется вышестоящим участником системы внутреннего контроля; единство методологической базы: единый подход к применению стандартов в области внутреннего контроля для всех дочерних и зависимых организаций Общества; надлежащее одобрение и утверждение операций: Общество стремится установить порядок утверждения всех финансово-хозяйственных операций уполномоченными органами и лицами в пределах их соответствующих полномочий; своевременность передачи сообщений о любых существенных недостатках и слабых местах контроля: в Обществе должны быть установлены максимально сжатые сроки передачи соответствующей информации органам и/или лицам, уполномоченным принимать решения об устранении любых существенных недостатков и слабых мест контроля; непрерывное развитие и совершенствование: процедуры внутреннего контроля должны быть направлены на постоянное выявление недостатков и областей для улучшения в существующей системе внутреннего контроля с учетом адаптации ее к изменениям внутренних и внешних условий функционирования Общества и возникшим новым задачам, а также применение соответствующих корректирующих мероприятий и мониторинг за их выполнением. эффективность – стоимость мероприятий по снижению рисков не должна превышать суммы ущерба от реализованного рискового события. 6.2. Компоненты системы внутреннего контроля В соответствии с моделью COSO «Внутренний контроль – Интегрированная модель», система внутреннего контроля Общества состоит из пяти взаимозависимых компонентов. Данные компоненты обеспечивают основу для эффективного функционирования системы внутреннего контроля, а также ее анализа и последующего мониторинга. Пять компонентов системы внутреннего контроля включают в себя: контрольную среду; оценку рисков; контрольные процедуры; информацию и ее передачу; мониторинг. 6.2.1. Контрольная среда Совет директоров совместно с Правлением Общества обеспечивают создание контрольной среды, выражающей и демонстрирующей работникам Общества существенность, важность и необходимость внутреннего контроля и соблюдения этических норм на всех уровнях деятельности. Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех компонентов системы внутреннего контроля и обеспечивает наличие четкой структуры и дисциплины среди должностных лиц и участников системы внутреннего контроля. Контрольная среда включает в себя: организационную структуру; честность и этические нормы; философию и стиль руководства; кадровую политику; компетентность работников. Компетентность, честность, прозрачность и осознание социальной ответственности являются ключевыми ценностями и основой деловой этики Общества. Корпоративные ценности Общества являются его высшими ценностями, которые отражают миссию и видение Общества и устанавливают философию и принципы взаимоотношений как внутри Общества, так и с партнерами, государством и обществом в целом. Кадровая политика Общества направлена на обеспечение и сохранение высококвалифицированных и мотивированных работников. Компетентность работников отражает знания и навыки, необходимые для выполнения поставленных задач и является основой успешной реализации стратегических целей Общества. 6.2.1.1. Организационная структура Настоящие Правила разграничивают компетенцию участников системы внутреннего контроля, в зависимости от их роли в процессах разработки, утверждения, применения и оценки системы внутреннего контроля. Совет директоров совместно с Правлением Общества обеспечивают создание и функционирование системы внутреннего контроля. Совет директоров является ответственным за организацию, мониторинг и оценку эффективности системы внутреннего контроля Общества с применением риск-ориентированного подхода. Комитет по внутреннему аудиту Совета директоров является ответственным за обеспечение надежности и эффективности системы внутреннего контроля и формирование рекомендаций по ее дальнейшему совершенствованию. Правление Общества является ответственным за разработку и внедрение утвержденной Советом директоров политики (положения, правил) о системе внутреннего контроля, надежное и эффективное функционирование системы внутреннего контроля, совершенствование процессов и процедур внутреннего контроля, утверждение Матриц рисков и контролей и Блок-схем процессов и мониторинг системы внутреннего контроля. Структурное подразделение, ответственное за организацию работы СВК в Обществе, оказывает методологическую поддержку Владельцам процессов и Участникам процессов при формировании Блок-схем процессов и разработки Матриц рисков и контролей процессов, совершенствовании контрольных процедур, формировании Плана мероприятий по совершенствованию системы внутреннего контроля. Общество, в установленном порядке, оказывает методологическую помощь дочерним и зависимым организациям по формированию системы внутреннего контроля. Общество, в установленном порядке, в том числе, используя права Общества как акционера (участника) на получение информации, осуществляет мониторинг развития системы внутреннего контроля в дочерних и зависимых организациях Общества. 6.2.1.2. Этические нормы, философия и стиль руководства, кадровая политика определены соответствующими внутренними документами Общества. 6.2.2 Идентификация и оценка рисков Владельцы процессов совместно с Участниками процессов на основании Блок-схем процессов проводят идентификацию процессных рисков и последующую их экспертную оценку. Структурное подразделение, ответственное за организацию работы СВК в Обществе, оказывает методологическую поддержку в процессе идентификации и документирования процессных рисков и осуществляет контроль качества предоставленной информации. 6.2.3 Контрольные процедуры Процедуры внутреннего контроля являются документально зафиксированной системой мероприятий и действиями по обеспечению эффективного внутреннего контроля за исполнением целей, задач и планов Общества, выявлению и совершению нестандартных операций, а также предупреждению, ограничению и предотвращению процессных рисков и возможных неправомерных действий со стороны должностных лиц и работников Общества. Контрольные процедуры осуществляются на всех иерархических уровнях Общества и направлены на: снижение вероятности возникновения возможных рисков; предотвращение возникновения ошибок и/или определение ошибок после их совершения; выявление и устранение дублирующих и избыточных операций; выявление недостатков и областей для улучшения; обеспечение соответствия законодательству Республики Казахстан и внутренним документам Общества; дальнейшее совершенствование системы внутреннего контроля. Контрольные процедуры должны отвечать на вопросы: кто, с какой целью, когда/как часто и что делает. Владельцы процессов и Участники процессов обеспечивают взаимодействие со структурным подразделением, ответственным за организацию работы СВК в Обществе, которое оказывает им методологическую поддержку. В рамках такого взаимодействия Владельцы процессов совместно с Участниками процессов разрабатывают/актуализируют Блок-схемы процессов по курируемым ими процессам с указанием рисков процессного уровня и контрольных процедур, разрабатывают/актуализируют Матрицы рисков и контролей процессов по курируемым ими процессам, формируют, при необходимости, план мероприятий по дальнейшему совершенствованию системы внутреннего контроля. 6.2.4 Информация и ее передача Информация и ее передача представляет собой процесс идентификации, документирования и своевременного доведения необходимой и соответствующей информации до сведения руководителей. Системы информационного обеспечения и обмена информацией включают в себя следующее: – организацию системы сбора, обработки и передачи информации, в том числе формирование отчетов и сообщений, содержащих информацию по всем существенным аспектам деятельности Общества; – организацию эффективных каналов и средств коммуникации, обеспечивающих вертикальные и горизонтальные коммуникативные связи внутри Общества, а также с дочерними и зависимыми организациями и третьими лицами; – в установленном порядке обеспечение доступа и сохранности информации, полученной из внутренних и внешних источников; – доведение до сведения работников действующих документов, применяемых в Обществе. Система информационного обеспечения в рамках СВК представлена следующими инструментами: Настоящие Правила Методики и инструкции по отдельным аспектам СВК Блок-схемы процессов Матрицы рисков и контролей процессов Контроли (Инструкции) по наиболее существенным процессным рискам Отчеты по оценке системы внутреннего контроля Планы совершенствования СВК (при необходимости) Структурное подразделение, ответственное за организацию работы СВК в Обществе, обеспечивает доступ работникам Общества к документам системы внутреннего контроля. 6.2.5 Мониторинг СВК Мониторинг СВК – процесс регулярной оценки руководителями структурных подразделений (Владельцами процессов совместно с Участниками процессов), выполняющих контрольные процедуры, правильности работы подчиненного персонала, своевременности и качества выполнения контрольных процедур, а также действия работников, предпринимаемые ими в ходе исполнения должностных обязанностей. Служба внутреннего аудита выступает как часть постоянного мониторинга системы внутреннего контроля Общества и непосредственно в рамках реализации годового аудиторского плана оценивает систему внутреннего контроля в целом и в разрезе процессов на предмет ее соответствия поставленным целям, задачам, заданным критериям и предоставляет рекомендации по совершенствованию системы внутреннего контроля. Служба внутреннего аудита осуществляет оценку эффективности системы внутреннего контроля в соответствии с утвержденной Советом директоров Общества Методикой оценки эффективности системы внутреннего контроля. Результаты работы Службы внутреннего аудита по оценке системы внутреннего контроля должны доводиться до сведения Комитета по внутреннему аудиту Совета директоров и Совета директоров Общества в рамках соответствующей отчетности. 7. Ответственность Совет директоров Общества совместно с Комитетом по внутреннему аудиту Совета директоров несут ответственность за проведение оценки эффективности системы внутреннего контроля, как правило, не реже одного раза в год. Правление Общества несет ответственность за надежное и эффективное функционирование СВК, совершенствование процессов и процедур внутреннего контроля, утверждение Матриц рисков и контролей процессов и Блок-схем процессов и мониторинг СВК в Обществе. Служба внутреннего аудита несет ответственность за проведение оценки эффективности системы внутреннего контроля в Обществе и формирование соответствующей отчетности для Совета директоров Общества и Комитета по внутреннему аудиту Совета директоров. Владельцы процессов и Участники процессов, в соответствии с функциональным направлением структурных подразделений, в рамках вверенных им процессов, являются ответственными за: – разработку, документирование и совершенствование процессов; – идентификацию процессных рисков, определение необходимости их контроля, разработку/обновление Матриц рисков и контролей процессов и Блок-схем процессов, а также мониторинг работ по системе внутреннего контроля во вверенных им процессах; – информирование структурного подразделения, ответственного за организацию работы СВК в Обществе, в части изменения процессов, рисков и контрольных процедур. Структурное подразделение, ответственное за организацию работы СВК в Обществе, является ответственным за: – разработку и обновление методологической базы по организации работы СВК в Обществе, обеспечение единого подхода к описанию выявленных процессных рисков и контрольных процедур; – оказание методологической поддержки Владельцам процессов и Участникам процессов в части формирования и обновления Матриц рисков и контролей и Блок-схем процессов; – централизованное хранение Матриц рисков и контролей и Блок-схем процессов и обеспечение доступа к ним заинтересованных работников Общества; – представление отчетов о функционировании системы внутреннего контроля в Обществе Правлению и Совету директоров Общества (один раз в год, по итогам года).