Главная 8. Отчет о корпоративном управлении Управление рисками и внутренними контролями

Управление рисками и внутренними контролями

Система управления рисками

Следуя Стратегии JRUN на 2023–2032 годы, АО «Казахтелеком» внедряет наиболее передовую практику риск-менеджмента. Развитие корпоративной системы управления рисками и внутренних контролей (далее — КСУР и ВК) нацелено на достижение максимальной эффективности использования активов, минимизацию потерь при возникновении неблагоприятных событий, выявление возможностей и стимулирование инноваций, что в свою очередь способствует созданию и защите стоимости Компании для акционеров, кредиторов и других заинтересованных сторон.

Надлежащим образом спроектированная и примененная структура риск-менеджмента обеспечивает его внедрение во все виды деятельности Компании, включая процесс принятия решений и надлежащий учет изменений во внешней и внутренней бизнес-­среде.

Участники процесса управления рисками

Организационная структура КСУР Компании представлена на нескольких уровнях и включает следую­щих участников процесса управления рис­ками:

Организационная структура корпоративной системы управления рисками

Совет директоров

является органом управления, который несет ключевую ответственность перед акционером(ами) за вопросы управления рисками в Компании

Правление

является исполнительным органом Компании и несет ответственность за реализацию Политики управления рисками в Компании

Комитет по управлению рисками

является консультативно-совещательным органом при Правлении, основными целями и задачами которого является обеспечение качественной информации по вопросам управления рисками и надлежащих каналов коммуникаций между структурными подразделениями Компании, а также рабочее обсуждение вопросов, требующих согласования/утверждения на уровне Правления

Департамент управления рисками и внутренних контролей

является ключевым структурным подразделением в КСУР, которое обеспечивает координацию, необходимую аналитику и методологическую поддержку по вопросам управления рисками всем участникам КСУР на уровне Компании. Несет ответственность за внедрение и поддержание функционирования эффективной системы внутренних контролей и процессного управления, адекватной масштабу и сложности бизнеса Компании

Структурные подразделения

являются важными участниками КСУР, поскольку они ответственны за управление рисками в пределах своих полномочий и компетенций

Риск-координаторы и рабочие группы по рискам

назначаются для обеспечения эффективного функционирования системы управления рисками в первой линии защиты в структурных подразделениях Компании

Служба внутреннего аудита

является службой, которая предоставляет Совету директоров независимые и объективные рекомендации, направленные на совершенствование деятельности Компании путем систематизированного и последовательного подхода к оценке и повышению эффективности систем управления рисками, внутреннего контроля и корпоративного управления подразделениях Компании

Управление рисками в 2022 году

В Компании на ежегодной основе проводится идентификация рисков, результаты которой отражаются в Регистре и Карте рисков, утверждаемых Советом Директоров. В Регистр рисков включены риски, способные оказать воздействие на достижение долгосрочных стратегических целей и ключевых показателей деятельности Плана развития.

В 2022 году расширен список рисковых событий по комплаенс-рискам. Перечень 2021 года, состоявший из двух рисковых событий «Наличие конфликтов интересов при выполнении служебных обязанностей» и«Наличие коррупционных действий» дополнен рисковым событием «Несоблюдение кодекса этики».

Согласно Регистру рисков и Карте рисков на конец 2022 года в Компании выделено 23 риска:

Карта рисков АО «Казахтелеком» за 2022 год

Ключевые риски 2022 года

Департаментом управления рисками и внутренних контролей проводится постоянный мониторинг за динамикой ключевых рисков и контроль над выполнением мероприятий, направленных на митигацию рисков. Результаты мониторинга ежеквартально направляются в виде отчетности по управлению рисками и внутренним контролям Совету директоров Компании.

Компания реализует мероприятия по проактивному управлению ключевыми рисками для снижения их влияния на цели периода:

Ключевые риски Мероприятия, предпринятые Компанией по снижению риска Оценка риска
Вероятность/влияние
Сохранность физических активов
  • Ведется ежедневное обеспечение охраны и систем технической защиты объектов Компании;
  • разработка БП «Пожарная безопасность».
 4/3
Риск по инновациям
  • Подписано Соглашение о партнерстве между АО «Казахтелеком» и ТОО «Нурсат+»;
  • Утвержден документ (Распоряжение № 19 от 18.02.2022) о предоставлении возможности применения скидок к тарифам по новым бизнесам в условиях высокой конкурентной среды;
  • актуализирована информация на продуктовых страницах;
  • проведено Промо (Приказ №309 от 30.09.2022) «О проведении акции по продвижению услуги ­«Облачное Видеонаблюдение для подъездов»».
 5/1
Правовой риск
  • Оформление имущественных прав на неоформленные участки кабельной канализации и земельные участки, пролонгация прав собственности на объекты с истекшим сроком действия.
 5/2
Регуляторный риск
  • Проводится ряд мероприятий по обеспечению функционалом СОРМ коммутационных станций.
 4/3
ФРОД
  • Проводятся профилактика и пресечение нарушений в сфере фрод со стороны работников Общества;
  • осуществляются проверки структурных подразделений ЦА и филиалов Компании.
 5/1
Кадровый риск
  • В течение года исполнен Комплексный план мероприятий по обеспечению социальной стабильности в группе компаний АО «Казахтелеком» (Приказ от 25.04.2022 №81);
  • В течение года исполнен План мероприятий по работе над тревожными зонами на 2022 год (Приказ от 05.03.2022 №45).
 4/3
Риск качества
  • Предотвращение предоставления услуг, несоответствующих договорным обязательствам, корпоративным клиентам (несоответствие заявленным параметрам, стандартам по качеству).
 4/4
Нарушение информационной безопасности
  • Реализация проекта «Модернизация средств защиты информационной безопасности».
 4/3

Развивающиеся риски

В целях обеспечения превентивных мер по управлению рисками были определены развивающиеся риски, которые еще не нанесены на карту рисков. Однако при условии их дальнейшего развития они могут войти на карту рисков в будущем. АО «Казахтелеком» не исключает существование прочих рисков, о которых в настоящий момент отсутствует информация или которые АО «Казахтелеком» считает несущественными:

  • Геоэкономические конфронтации;
  • Быстро растущая и/или устойчивая инфляция;
  • Геополитическая борьба за ресурсы;
  • Межгосударственный конфликт;
  • Резкие скачки цен на продукты и товары.

Система внутреннего контроля

Разработанная на основе рекомендаций Комитета спонсорских Организаций Комиссии Трэдвэй (COSO) и иных лучших международных практик в области управления рисками и внутреннего контроля в АО «Казахтелеком» СВК основывается на модели трех линий защиты, и ответственность за ее функционирование в Компании распределена следующим образом:

Модель трех линий защиты

1
Первая линия защиты

Руководство (владелец процесса) несет основную ответственность за управление рисками, связанными с повседневной операционной деятельностью. Кроме того, в обязанность первой линии входят разработка, обеспечение функционирования и внедрение средств контроля.

2
Вторая линия защиты

Выявляет возникающие риски в повседневной деятельности организации. С этой целью обеспечивает наличие необходимых концепций, документов политики, инструментов и технологий.

3
Третья линия защиты

Оценка эффективности СВК, ответственность за предоставление отчетности Правлению и аудиторскому комитету, а также предоставление аудиторского подтверждения регуляторам и внешним аудиторам, демонстрирующего эффективность структуры и функционирования культуры контроля в организации.

В целях повышения общей результативности контрольных функций в Компании, обеспечения своевременности действий и плодотворного взаимодействия структурные подразделения второй и третьей линий защиты осуществляют постоянный обмен информацией о выявленных недостатках СВК, ошибках и нарушениях в деятельности Компании и при исполнении его работниками своих должностных обязанностей, а также координацию деятельности по своему направлению в дочерних/зависимых организациях АО «Казахтелеком».

К Ключевой задаче системы внутреннего контроля относится обеспечение прозрачности и достоверности финансовой отчетности Компании. В АО «Казахтелеком» основными принципами и этапами построения системы внутреннего контроля над процессом подготовки финансовой отчетности определены:

  • идентификация и описание существенных бизнес-процессов подготовки финансовой отчетности;
  • выявление и оценка рисков на уровне бизнес-процессов (влияющих на достоверность отчетности), а также разграничение ответственности за управление данными рисками с учетом возможного конфликта интересов.

При описании, оценке и внедрении контрольных процедур, направленных на снижение рисков на уровне бизнес-процессов предусматриваются возможности автоматизации контролей, а также установление контролей различных типов: предварительные, последующие, ключевые и компенсирующие.

Также в АО «Казахтелеком» практикуется оценка операционной эффективности контролей на постоянной основе.

Развитие КСУР и ВК в 2022 году

В отчетном году были осуществлены мероприятия, предусмотренные Основными направлениями развития СУР и ВК группы компаний АО «Казахтелеком» на 2022–2024 годы, утвержденные Правлением Компании, а именно:

Внедрена практика RCSA — Risk and Control Self-Assessment (самооценка рисков и контрольной среды). Департаментом управления рисками и внутренних контролей проведено целевое интервьюирование руководителей структурных подразделений ДКБ и СФ.

Департаментом управления рисками и внутренних контролей в течение года была проведена подготовка по внесению изменений и дополнений методологических и нормативных документов по управлению рисками.

В целях обеспечения надлежащей реализации внутреннего контроля за деятельностью Компании и повышения значимости внутреннего конт­роля разработана Политика внутреннего контроля АО «Казахтелеком».

Одной из стратегических целей в области ESG является экология. В рамках исполнения Плана мероприятий по совершенствованию корпоративного управления в АО «Казахтелеком» на 2022–2024 годы ДУРиВК включил в Регистр рисков АО «Казахтелеком» экологический риск, ­рисковыми событиями которого являются:

  • превышение лимитов по выбросам;
  • несоблюдение требований законодательства в области охраны ­окружающей среды;
  • распространение эпидемий гриппа, других инфекционных ­заболеваний.

Совершенствование базы данных реализованных рисков и инцидентов.

Согласно требованиям Кодекса Корпоративного Управления на ежегодной основе проводится тестирование работников на знание внутренней нормативной документации, принятой в АО «Казахтелеком» по системе управления рисками, внутренним контролям и процессному управлению. Общее количество работников, прошедших тестирование, составило 1 879 человек.

В IV квартале 2022 года Службой внутреннего аудита АО «Казахтелеком» была проведена оценка эффективности корпоративной системы управления рисками и системы внутренних контролей АО «Казахтелеком» в соответствии с Методикой диагностики корпоративного управления юридических лиц, более 50% голосующих акций которых прямо или косвенно принадлежат АО «Самрук-Қазына». По результатам проведенных мероприятий общий рейтинг составил — А.

В 2022 году в соответствии с Методикой диагностики систем управления рисками и внутреннего контроля в дочерних и аффилированных организациях АО «Казахтелеком» была проведена диагностика систем в ТОО «ВОСТОКТЕЛЕКОМ» и ТОО «QazCloud».

Пересмотрен перечень Риск-аппетита Группы.

Направления развития КСУР и ВК

В условиях господства неопределенности, обусловленной новыми вызовами, высокой волатильностью бизнес-среды, постоянно увеличивающимися ожиданиями потребителей продукции и услуг, зависимости от геополитической картины современного мира и усиления регулирую­щей роли государства в экономике возникает необходимость менять отношение к системе управления рисками и внутренних контролей.

Компания намерена совершенствовать текущую модель управления рис­ками и внутренними контролями применяя основополагающие концепции и стандарты и руководствуясь их критериями:

  • корпоративное управление и культура;
  • стратегия и постановка целей;
  • эффективность деятельности;
  • мониторинг и внедрение изменений;
  • информация, коммуникации и отчетность.