ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННОЕ ПИСЬМО
от 1 октября 2020 года N ИН-06-28/143
В целях организации управления рисками, внутреннего контроля, внутреннего аудита, а также совершенствования практики корпоративного управления в публичных акционерных обществах Банк России направляет для применения прилагаемые рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах, являющиеся приложением к настоящему информационному письму.
Настоящее информационное письмо подлежит опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Первый заместитель
Председателя Банка России
С.А.Швецов
Рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах
Настоящие рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах (далее - Рекомендации) подготовлены в соответствии с законодательством Российской Федерации и основаны на принципах и положениях Кодекса корпоративного управления, рекомендованного Банком России к применению акционерными обществами, ценные бумаги которых допущены к организованным торгам (далее - Кодекс корпоративного управления).
________________
Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления".
Рекомендации подготовлены также с учетом положений следующих документов:
- ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство";
- ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска";
- ГОСТ Р 51897-2011/Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения";
- ГОСТ Р 51901.7-2017 "Менеджмент риска. Руководство по внедрению ИСО 31000";
- Документ (концепция) Комитета спонсорских организаций Комиссии Трэдвэя (The Committee of Sponsoring Organizations of the Treadway Commission) COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.);
- Документ (концепция) COSO "Внутренний контроль. Интегрированная модель" (2013 г.);
- Стандарты управления рисками, разработанные Федерацией европейских ассоциаций риск-менеджеров (FERMA) (2002 г.);
- Международные основы профессиональной практики внутреннего аудита, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита);
- Методические указания по подготовке Положения о внутреннем аудите (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);
- Методические указания по подготовке Положения о системе управления рисками (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);
- Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 04.07.2014 N 249);
- Методические рекомендации по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации (утверждены приказом Росимущества от 03.09.2014 N 330);
- Методические рекомендации по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации (утверждены приказом Росимущества от 20.03.2014 N 86).
Законодательством Российской Федерации, органами регулирования и надзора (далее - регулирующие органы) в рамках отдельных направлений деятельности организации и (или) секторов экономики могут быть установлены отдельные требования к организации и осуществлению управления рисками, внутреннего контроля, внутреннего аудита. Организациям рекомендуется применять настоящие Рекомендации с учетом специального регулирования в части, не противоречащей требованиям такого регулирования. В случае изменения законодательства Российской Федерации и (или) требований специального регулирования настоящие Рекомендации применяются в части, не противоречащей требованиям законодательства Российской Федерации и (или) специального регулирования.
Настоящие Рекомендации, в первую очередь, разработаны для использования в качестве методического материала публичными акционерными обществами (далее также - организация, Общество), но могут быть использованы любыми организациями, заинтересованными в эффективной организации и осуществлении управления рисками, внутреннего контроля, внутреннего аудита, а также в целях повышения эффективности реализации советом директоров (наблюдательным советом) стратегических и контрольных функций. Рекомендации содержат базовые принципы и подходы к организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров по аудиту (далее - комитет по аудиту), которые могут быть использованы организациями с учетом масштаба и специфики деятельности, реализуемых корпоративных практик и бизнес-процессов. Для определения подхода к внедрению настоящих Рекомендаций Общество может оценить реализуемые им практики организации управления рисками, внутреннего контроля, внутреннего аудита, ответив на вопросы, приведенные в Приложении 1* к настоящим Рекомендациям.
________________
Далее по тексту используется термин "совет директоров".
* Приложение см. по ссылке. - Примечание изготовителя базы данных.
В настоящих Рекомендациях используются следующие термины и определения:
Риск - влияние неопределенности на достижение поставленных целей Общества.
________________
В соответствии с ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство" под влиянием понимается как положительное, так и отрицательное отклонение от того, что ожидается.
Риск-аппетит (приемлемая величина риска) - виды и величина рисков в широком смысле, которые Общество готово принять в процессе реализации своих целей.
________________
Определение "риск-аппетита" приведено с учетом положений Кодекса корпоративного управления, подхода, изложенного в Концепции Комитета спонсорских организаций Комиссии Трэдвэя COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.).
Система управления рисками и внутреннего контроля (СУРиВК) - совокупность организационных мер, методик, процедур, норм корпоративной культуры и действий, предпринимаемых Обществом для достижения оптимального баланса между ростом стоимости Общества, прибыльностью и рисками, для обеспечения финансовой устойчивости Общества, эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, соблюдения законодательства, устава и внутренних документов Общества, своевременной подготовки достоверной отчетности.
________________
Пункт 259 Кодекса корпоративного управления.
Внутренний контроль - процесс, осуществляемый советом директоров, исполнительными органами и работниками Общества на всех уровнях управления и направленный на получение разумной уверенности в том, что Общество обеспечивает:
- эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;
- достоверность, полноту и своевременность бухгалтерской (финансовой) и иной отчетности;
- соблюдение применимого законодательства и нормативных актов, а также внутренних нормативных документов Общества.
Управление рисками - любые процессы, политики, устройства, практики или иные условия или действия, которые направлены на изменение риска.
________________
ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство".
Портфель рисков - агрегированная информация о распределении всей совокупности рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.
Профиль рисков - агрегированная информация о распределении отдельной категории (вида, типа и т.д.) рисков по бизнес-процессам, видам деятельности, уровням принятия решения и (или) иным критериям.
Деятельность любого Общества как хозяйствующего субъекта сопряжена с теми или иными рисками, влияющими на реализацию Обществом принятой стратегии, достижение поставленных целей и эффективности деятельности Общества в целом. Согласно ст.87.1 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" в Обществе должны быть организованы управление рисками и внутренний контроль, а для оценки их надежности и эффективности должен осуществляться внутренний аудит.
________________
Пункт 2 статьи 87.1 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" вступает в силу с 01.01.2021.