«Утверждено» Решением Совета директоров АО «НАК «Казатомпром» от 05.04.2013 №2/13 Система внутреннего контроля АО «НАК «Казатомпром» Правила 1. Назначение Настоящие Правила определяют цели, задачи, принципы функционирования и организацию системы внутреннего контроля в АО «НАК «Казатомпром». 2. Область распространения Настоящие Правила распространяются на органы управления и структурные подразделения Общества, ответственные за организацию, совершенствование, функционирование и оценку системы внутреннего контроля (далее – СВК). 3. Общие положения Система внутреннего контроля является составной частью системы управления рисками Общества и направлена на предотвращение рисков, связанных с выполнением регулярных, повторяющихся процессов. Система внутреннего контроля Общества охватывает осуществление всех операций Общества, предполагающих возникновение рисков, в рамках установленных лимитов и ограничений. Внутренний контроль направлен на предупреждение рисков в следующих областях деятельности: – формирование финансовой и управленческой отчетности; – соблюдение требований законодательства и внутренних нормативных документов; – повышение результативности процессов. В соответствии со специфической направленностью, СВК Общества организована на основе процессного подхода. 4. Термины и определения Система внутреннего контроля Совокупность организационной структуры, процедур и действий, направленных на обеспечение Обществом своих целей и минимизацию процессных рисков при осуществлении деятельности. Процесс Целенаправленная деятельность создания добавочной ценности. ПРИМЕЧАНИЕ: Процесс характеризуется повторяемостью, полезностью, определенным конечным продуктом/услугой и, как правило, постоянным составом участников. Руководитель процесса Работник, имеющий в своем распоряжении ресурсы и наделенный полномочиями по управлению ходом процесса. ПРИМЕЧАНИЕ: Руководитель процесса несет ответственность за планирование, реализацию и результативность процесса, его постоянное улучшение. Руководитель процесса также является владельцем рисков процесса и отвечает за организацию выполнения предусмотренных контрольных процедур. Владелец контрольной процедуры Работник Общества, отвечающий за качественного выполнения процедуры контроля. организацию внутреннего Процессный подход Любая деятельность или комплекс деятельности, в которой используются ресурсы для преобразования входов в выходы, может рассматриваться как процесс. Чтобы результативно функционировать, организации должны определять и управлять многочисленными взаимосвязанными и взаимодействующими процессами. Систематическая идентификация и менеджмент применяемых организацией процессов, и особенно взаимодействия таких процессов, могут считаться «процессным подходом». Процессный риск Потенциальное несоответствие или другая нежелательная ситуация в ходе выполнения процесса, влекущая за собой негативные последствия. Матрица рисков и контролей Таблица, содержащая описание процессных рисков и контрольных процедур. 5. Цели и задачи системы внутреннего контроля Цель системы внутреннего контроля – обеспечение разумной гарантии того, что результаты/выходы процессов соответствуют запланированным результатам/выходам. Основными задачами системы внутреннего контроля являются: 1) контроль над рисками процессов и ежедневных операций Общества для: – повышения результативности процессов операционной деятельности; – обеспечения сохранности активов и эффективного использования ресурсов; – обеспечения полноты, надежности и достоверности финансовой и управленческой отчетности; – соблюдения требований законодательства Республики Казахстан и внутренних нормативных документов; 2) информирование руководителей соответствующего уровня о любых существенных недостатках и областях для улучшения в системе внутреннего контроля. 6. Организация системы внутреннего контроля 6.1. Принципы системы внутреннего контроля Система внутреннего контроля в Обществе строится на следующих принципах: непрерывное функционирование – постоянное и надлежащее функционирование системы внутреннего контроля позволяет своевременно предотвращать и выявлять любые отклонения от запланированных данных; подотчетность участников системы внутреннего контроля – качество и своевременность выполнения задач и обязанностей каждым задействованным лицом системы внутреннего контроля контролируется вышестоящим участником системы внутреннего контроля; разграничение ответственности – разделение полномочий и обязанностей между сотрудниками, которые авторизуют и отражают транзакции и отвечают за сохранность активов для предотвращения ситуаций, когда сотрудники одновременно совершают мошенничество и скрывают сбои или нерегулярность проведения контрольных процедур; непрерывное развитие и совершенствование – процедуры направлены на постоянное выявление недостатков и областей для улучшения в существующей системе внутреннего контроля, а также применение соответствующих корректирующих мероприятий и мониторинг за их выполнением; единство методологической базы – единый подход к применению стандартов в области внутреннего контроля для всех дочерних и зависимых организаций Общества; эффективность – стоимость мероприятий по снижению рисков не должна превышать суммы ущерба от реализованного рискового события. 6.2. Компоненты системы внутреннего контроля В соответствии с моделью COSO «Внутренний контроль – Интегрированная модель», система внутреннего контроля Общества состоит из пяти взаимозависимых компонентов. Данные компоненты обеспечивают основу для эффективного функционирования системы внутреннего контроля, а также ее анализа и последующего мониторинга. Пять компонентов системы внутреннего контроля включают в себя: контрольную среду; оценку рисков; контрольные процедуры; информацию и ее передачу; мониторинг. 6.2.1. Контрольная среда Совет директоров совместно с Правлением обеспечивают создание контрольной среды, выражающей и демонстрирующей работникам Общества существенность, важность и необходимость внутреннего контроля и соблюдения этических норм на всех уровнях деятельности. Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех компонентов системы внутреннего контроля и обеспечивает наличие четкой структуры и дисциплины среди должностных лиц и участников системы внутреннего контроля. Контрольная среда включает в себя: организационную структуру; честность и этические нормы; философию и стиль руководства; кадровую политику; компетентность сотрудников. Компетентность, честность, прозрачность и осознание социальной ответственности являются ключевыми ценностями и основой деловой этики Общества. Корпоративные ценности Общества являются его высшими ценностями, которые отражают миссию и видение Общества и устанавливают философию и принципы взаимоотношений как внутри Общества, так и с партнерами, государством и обществом в целом. Кадровая политика Общества направлена на обеспечение и сохранение высококвалифицированных и мотивированных сотрудников. Компетентность сотрудников отражает знания и навыки, необходимые для выполнения поставленных задач и является основой успешной реализации стратегических целей Общества. 6.2.1.1. Организационная структура Настоящие Правила разграничивают компетенцию участников системы внутреннего контроля, в зависимости от их роли в процессах разработки, утверждения, применения и оценки системы внутреннего контроля. Совет директоров совместно с Правлением обеспечивает создание и функционирование системы внутреннего контроля. Совет директоров является ответственным за организацию системы внутреннего контроля в Обществе. Совет директоров применяет рискориентированный подход для организации надежной системы внутреннего контроля и оценки ее эффективности. Комитет по внутреннему аудиту Совета директоров является ответственным за формирование рекомендаций по обеспечению надежности и эффективности системы внутреннего контроля и ее дальнейшего совершенствования. Правление является ответственным за надежное и эффективное функционирование системы внутреннего контроля, совершенствование процессов и процедур внутреннего контроля и мониторинг системы внутреннего контроля. Структурное подразделение, ответственное за организацию СВК, совместно с владельцами процессов и владельцами контрольных процедур обеспечивает документирование (разработку блок-схем) процессов, выявление рисков, определение контрольных процедур и отражение их в матрицах рисков и контролей. 6.2.1.2. Этические нормы, философия и стиль руководства, кадровая политика определены соответствующими документами Общества. 6.2.2 Идентификация и оценка рисков Руководители процессов с другими участниками системы внутреннего контроля на основании блок-схем процессов проводят идентификацию процессных рисков и последующую их экспертную оценку. Структурное подразделение, ответственное за организацию СВК, оказывает методологическую поддержку в процессе идентификации и документирования процессных рисков и осуществляет контроль качества предоставленной информации. 6.2.3 Контрольные процедуры Контроли осуществляются на всех иерархических уровнях Общества. Контрольные процедуры направлены на: снижение вероятности возникновения возможных рисков; предотвращение возникновения ошибок и/или определение ошибок после их совершения; обеспечение соответствия законодательству Республики Казахстан и внутренним нормативным документам. Контрольные процедуры должны отвечать на вопросы: кто, с какой целью, когда/как часто и что делает. Контрольные процедуры (контроли), могут быть: разработаны как отдельный документ или часть документа; автоматизированы и выполняться программными средствами; выполняемые, но не формализованные (описанные только в матрице рисков и контролей). 6.2.4 Информация и ее передача Информация и ее передача представляет собой процесс идентификации, документирования и своевременного доведения необходимой и соответствующей информации до сведения руководителей. Системы информационного обеспечения и обмена информацией включают в себя следующее: – организацию системы сбора, обработки и передачи информации, в том числе формирование отчетов и сообщений, содержащих информацию по всем существенным аспектам деятельности Общества; – организацию эффективных каналов и средств коммуникации, обеспечивающих вертикальные и горизонтальные коммуникативные связи внутри Общества, а также с дочерними и зависимыми организациями и третьими лицами; – в установленном порядке обеспечение доступа и сохранности информации, полученной из внутренних и внешних источников; – доведение до сведения работников действующих документов, применяемых в Обществе. Система информационного обеспечения в рамках СВК представлена следующими инструментами: Настоящие Правила Методики и инструкции по отдельным аспектам СВК Блок-схемы процессов Матрицы рисков и контролей Контроли (Инструкции) по наиболее существенным процессным рискам Отчеты по оценке системы внутреннего контроля Планы совершенствования СВК (при необходимости) Структурное подразделение, ответственное за организацию СВК, обеспечивает доступ работникам Общества к документам системы внутреннего контроля. 6.2.5 Мониторинг СВК Мониторинг СВК – процесс регулярной оценки руководителями подразделений, выполняющих контрольные процедуры, правильности работы подчиненного персонала, своевременности и качества выполнения контролей, а также действия работников, предпринимаемые ими в ходе исполнения должностных обязанностей. Службой внутреннего аудита на основе аудиторского плана осуществляется периодическая оценка системы внутреннего контроля. На основании оценки СВК Служба внутреннего аудита готовит отчеты с предложением мер по улучшению системы внутреннего контроля. Независимая оценка эффективности системы внутреннего контроля проводится не реже одного раза в три года, включая обзор всех существенных контролей, в том числе финансовых, операционных и контролей в области соответствия законодательству. 7. Ответственность Совет директоров совместно с Комитетом по аудиту Совета директоров несут ответственность за проведение оценки эффективности системы внутреннего контроля, как правило, не реже одного раза в год. Служба внутреннего аудита ответственна за проведение оценки системы внутреннего контроля и формирование соответствующей отчетности для Комитета по аудиту. Руководители процессов, в соответствии со своими должностными обязанностями, в рамках вверенных им процессов являются ответственными за: – разработку, документирование и совершенствование процессов; – идентификацию процессных рисков, определение необходимости их контроля, разработку/обновление матриц рисков и контролей, а также мониторинг работ по системе внутреннего контроля во вверенных им бизнеспроцессах; – информирование структурного подразделения, ответственного за организацию СВК, в части изменения процессов, рисков и контрольных процедур. Владельцы контрольных процедур, в соответствии со своими должностными обязанностями, в рамках вверенных им процессов являются ответственными за разработку, документирование, внедрение, мониторинг и совершенствование контрольных процедур, в рамках поддержания эффективного функционирования системы внутреннего контроля. Структурное подразделение, ответственное за организацию СВК, является ответственным за: – методологическую базу СВК, ее соответствие внешним и внутренним документам и дальнейшее совершенствование; – обеспечение единого подхода к описанию выявленных рисков, контрольных процедур и отражение их в матрицах рисков и контролей; – централизованное хранение матриц рисков и контролей и обеспечение доступа к ним заинтересованных работников Общества; – представление отчетов о выполнении мероприятий по СВК Комитету по управлению рисками при Правлении Общества.