Управление рисками, внутренний контроль и внутренний аудит являются ключевыми элементами корпоративного управления. Совет директоров утверждает внутренние документы, определяющие принципы и подходы к организации этих систем, а исполнительные органы обеспечивают их создание и эффективное функционирование. Внутренний аудит может проводиться ответственным сотрудником, структурным подразделением или сторонней организацией.
Система управления рисками и внутреннего контроля создается для обеспечения объективного представления о текущем состоянии дел, перспектив, целостности и прозрачности отчетности, а также для разумного управления рисками. Основные задачи системы включают минимизацию рисков, сохранность активов, соблюдение законодательства, своевременность и достоверность учета и отчетности, а также предупреждение коррупции. Меры по предупреждению коррупции включают разработку антикоррупционной политики, назначение ответственных лиц, оценку коррупционных рисков, урегулирование конфликта интересов, установление стандартов поведения, проверку контрагентов, включение антикоррупционных оговорок в договоры, антикоррупционный аудит, обучение персонала, установление каналов получения информации о правонарушениях, внутренний контроль, взаимодействие с государственными органами и мониторинг эффективности мер.
В управлении рисками и внутреннем контроле участвуют все органы управления и работники общества. Банк России рекомендует определить в уставе общества компетенцию совета директоров и исполнительных органов в этой сфере, а также разграничить зоны ответственности и полномочия. Совет директоров устанавливает принципы организации системы и утверждает внутренние документы, определяющие политику по управлению рисками и внутреннему контролю. К компетенции совета директоров относятся определение ключевых показателей эффективности, рассмотрение отчетов исполнительных органов, организация оценки надежности и эффективности системы, рассмотрение результатов оценки внутренним аудитом и внешней оценки, а также вопросы внутреннего аудита. В отношении учета ESG-факторов совет директоров должен удостовериться, что практики управления рисками применимы для анализа ESG-факторов, организовать оценку соблюдения обязательных требований и определять степень значимости связанных с ESG-факторами рисков. Для решения этих задач может быть сформирован комитет по рискам или его функции может выполнять комитет по аудиту.
Исполнительные органы обеспечивают создание и эффективное функционирование системы, включая организацию, поддержание и развитие системы, выполнение решений совета директоров, утверждение методологии, распределение полномочий и рассмотрение отчетов. Ревизионная комиссия контролирует финансово-хозяйственную деятельность и готовит предложения по совершенствованию системы. Ключевыми участниками также являются работники и руководители бизнес-подразделений, работники структурных подразделений, поддерживающих управление рисками и контроль, а также работники, осуществляющие внутренний аудит.
Организация внутреннего аудита возлагается на совет директоров, который формирует комитет по аудиту, утверждает внутренние документы и назначает ответственное лицо или подразделение либо привлекает стороннюю организацию. Комитет по аудиту формируется из независимых членов совета директоров, один из которых должен обладать опытом в области бухгалтерской (финансовой) отчетности. Председателем комитета не может быть председатель совета директоров. Членам комитета разъясняются их функции и полномочия, предоставляется возможность обучения.
Внутренний аудит проводится для независимой оценки надежности и эффективности системы управления рисками и внутреннего контроля, а также практики корпоративного управления. Это обеспечивает доверие к финансовой отчетности и позволяет оценивать деятельность общества на высоком профессиональном уровне. Для организации внутреннего аудита можно руководствоваться международными стандартами. Органы, проводящие внутренний аудит, должны быть независимы от исполнительных органов. Возможны следующие варианты организации:
Назначение ответственного должностного лица или создание отдельного структурного подразделения. Совет директоров назначает на должность такое лицо или руководителя подразделения, утверждает условия трудового договора. Функционально подразделение внутреннего аудита рекомендуется подчинить совету директоров, а административно — единоличному исполнительному органу.
Привлечение сторонней организации, если это предусмотрено внутренними документами. Совет директоров определяет юридическое лицо, осуществляющее внутренний аудит, и условия договора. Рекомендуется передавать сторонней организации только часть функций, а оставшуюся часть закреплять за соответствующим подразделением общества.
В рамках внутреннего аудита проводятся регулярные проверки и контрольные мероприятия, включая сопоставление бизнес-процессов с целями, проверку надежности систем противодействия злоупотреблениям и коррупции, проверку достоверности бухгалтерской отчетности, наличия и соответствия внутренних документов законодательству, проверку сохранности активов, выявление недостатков системы управления рисками и внутреннего контроля, проверку соблюдения этических принципов, оценку соблюдения прав акционеров, проверку соблюдения требований к раскрытию информации, а также консультирование и обучение персонала. По итогам проверки оформляется отчет, форма которого рекомендуется утвердить в положении о внутреннем аудите.