Система контроля

В Компании функционирует система внутреннего контроля, которая охватывает ключевые бизнес-процессы и все уровни управления Группы. Система внутреннего контроля интегрирована в процессы корпоративного управления Компании и направлена на достижение целей достоверности финансовой отчетности, эффективности операционной деятельности и целей комплаенса. Выделяют следующие органы контроля:

Ревизионная комиссия

Результаты работы
Ревизионной комисcии

В 2021 году Ревизионной комиссией была проведена проверка хозяйственной деятельности Компании за 2020 год. По итогам проверки подготовлено заключение, представленное акционерам в составе материалов к годовому Общему собранию акционеров. Результаты проверки хозяйственной деятельности Компании за 2021 год будет представлена к годовому Общему собранию акционеров в 2022 году.

На годовом Общем собрании акционеров 19 мая 2021 года Ревизионная комиссия была переизбрана в составе прошлого года, а также было установлено вознаграждение для каждого члена Ревизионной комиссии Компании, не являющегося ее работником, в размере 1,8 млн руб. в год (до удержания налогов). Указанный размер вознаграждения аналогичен вознаграждению, определенному для членов Ревизионной комиссии в 2020 году. Членам комиссии, являющимися сотрудниками «Норникеля», вознаграждение за работу в составе Ревизионной комиссии не выплачивается.

В 2021 году члены Ревизионной комиссии получили вознаграждение в размере 7,2 млн руб. (98 тыс. долл. США). Премии и иные вознаграждения не выплачивались.

Внутренний аудит

Департамент внутреннего аудита создан в целях оказания содействия Совету директоров и исполнительным органам в повышении эффективности управления Компанией, совершенствовании ее финансово-хозяйственной деятельности путем системного и последовательного подхода к анализу и оценке системы управления рисками и внутреннего контроля как инструментов обеспечения разумной уверенности в достижении поставленных перед Компанией целей.

Департамент внутреннего аудита проводит объективные и независимые проверки, в ходе которых оценивает эффективность системы внутреннего контроля и системы управления рисками. На основе проведенных проверок готовятся отчеты и предложения руководству по совершенствованию процедур внутреннего контроля, осуществляется контроль за разработкой планов мероприятий по устранению нарушений.

В целях обеспечения независимости и объективности Департамент внутреннего аудита функционально подотчетен Совету директоров через Комитет по аудиту и находится в административном подчинении Президенту Компании.

В 2021 году на заседаниях Комитета Совета директоров по аудиту рассматривались следующие вопросы в части внутреннего аудита: согласование годового плана аудиторских проверок, планов по развитию функции внутреннего аудита; согласование показателей премирования (карты КПЭ) директора Департамента внутреннего аудита; обсуждение итогов проведенных аудиторских проверок, включая выявленные недостатки и корректирующие мероприятия, разработанные менеджментом по совершенствованию процедур внутреннего контроля и минимизации рисков. Комитетом по аудиту отмечена эффективность работы Департамента внутреннего аудита в отчетном периоде.

В 2021 году Департамент внутреннего аудита выполнил 20 проверок следующих областей: производственная деятельность дочерних обществ, процессы корпоративного управления, процедуры контроля за ИТ-активами. Также была проведена годовая оценка эффективности корпоративной системы управления рисками (КСУР) и системы внутреннего контроля (СВК) Компании за 2021 год. Итогом оценки является вывод, что КСУР и СВК Компании в целом функционируют эффективно, имеются отдельные замечания. Результаты оценки рассмотрены на заседании Комитета по аудиту и заседании Совета директоров Компании.

По рекомендациям, выданным в ходе проверок, менеджментом разработаны корректирующие мероприятия. В течение 12 месяцев 2021 года менеджментом выполнено 263 мероприятия. Мероприятия включают обновление нормативных документов, разработку новых или изменение действующих контрольных процедур, информирование и обучение персонала, идентификацию и оценку рисков. Департамент внутреннего аудита осуществляет непрерывный мониторинг выполнения мероприятий, разработанных менеджментом. Аналитическая информация о видах и количестве мероприятий регулярно рассматривается на заседаниях Комитета по аудиту.

Цифровизация
Внутреннего аудита

В 2021 году, завершив внедрение информационной системы SAP Audit Management в Главном офисе, Департамент внутреннего аудита приступил к тиражу этой системы в семи подразделениях внутреннего контроля и аудита компаний Группы. В декабре 2021 года система переведена в стадию опытно-промышленной эксплуатации.

Благодаря запуску системы удалось получить следующие выгоды и преимущества:

• стандартизация процессов внутреннего аудита в Компании в целом;
• возможность всем членам аудиторской команды Главного офиса и других подразделений работать в едином информационном пространстве, независимо от местонахождения;
• построение аналитических отчетов по аудитам подразделений Компании, а также консолидированной отчетности по всем аудитам Компании;
• автоматизация мониторинга выполнения рекомендаций в подразделениях Компании.

Департамент внутреннего аудита уделяет большое внимание расширению практики использования инструментов data-аналитики при проведении аудиторских проверок.

В 2021 году с помощью цифровых методов обработки данных сотрудниками Департамента внутреннего аудита были проведены пять аудитов в области информационных технологий, аудит контроля за оборотным капиталом и аудит учета работы горного оборудования.

Внутренний контроль

Департамент внутреннего контроля проводит регулярный мониторинг бизнес-процессов Компании с высоким уровнем риска: закупочной и инвестиционной деятельности, сделок по капитальному строительству и корпоративному страхованию, надежности действующих систем учета металлосодерцжащих продуктов. В Компании осуществляется непрерывный контроль соблюдения нормативных требований в области противодействия неправомерному использованию инсайдерской информации и манипулированию рынком, а также в области противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма, финансированию распространения оружия массового уничтожения.

В рамках проведения самооценки системы внутреннего контроля и аудита финансовой отчетности ежегодно осуществляется оценка эффективности и уровня зрелости элементов системы внутреннего контроля. Отчеты с результатами оценки эффективности системы внутреннего контроля рассматриваются руководителями Компании и Комитетом Совета директоров по аудиту.

Служба по финансовому контролю осуществляет проверки финансово-хозяйственной деятельности Компании и ее дочерних обществ в целях информирования и подготовки рекомендаций Президенту и членам Совета директоров Компании. Руководители Службы по финансовому контролю назначаются решением Совета директоров Компании.

Служба корпоративного доверия

В рамках Департамента внутреннего контроля в Компании функционирует Служба корпоративного доверия, целью которой является оперативное реагирование на информацию о нарушениях, злоупотреблениях и хищениях, несоблюдении прав сотрудников, нарушении сотрудниками этических норм и принципов поведения. Сотрудники, акционеры и иные заинтересованные лица могут направить обращение как о фактических, так и о предполагаемых событиях, которые наносят или могут нанести материальный ущерб или вред деловой репутации Компании. Все поступившие обращения регистрируются с присвоением уникального номера и проводится расследование. Основными принципами в работе Службы корпоративного доверия являются сохранение анонимности заявителя и своевременное и объективное рассмотрение всех поступивших обращений. Компания ни в коем случае не подвергает сотрудника, обратившегося в Службу корпоративного доверия, санкциям и преследованиям (увольнению, лишению премии, понижению в должности и т. д.).

Оставить обращение можно по бесплатным телефонам: 8 (800) 700-19-41, 8 (800) 700-19-45, а также по электронной почте skd@nornik.ru или заполнив форму для обращения на сайте Компании («Служба корпоративного доверия»).

Подробная статистика обращений ежегодно публикуется в Отчете об устойчивом развитии.

Антикоррупционная деятельность

«Норникель» соблюдает требования антикоррупционного законодательства России и других стран, на территории которых Группа осуществляет свою деятельность, а также применимые нормы международного права и внутренние регламенты.

Компания открыто заявляет о неприятии коррупции в любых формах и проявлениях. Члены Совета директоров, Правления и топ-менеджмент Компании задают этический стандарт непримиримого отношения к любым формам и проявлениям коррупции на всех уровнях, подавая пример своим поведением. Компания не осуществляет платежи за упрощение формальностей и не финансирует политические партии в целях получения или сохранения преимущества в коммерческой деятельности. Также Компания гарантирует, что сотрудник не будет подвергнут дисциплинарным взысканиям и другим санкциям, если он сообщит о предполагаемом факте коррупции или откажется дать взятку, произвести коммерческий подкуп, оказать посредничество во взяточничестве либо совершить иное коррупционное правонарушение, даже если в результате такого отказа у Компании возникнет упущенная выгода или не будут получены коммерческие и конкурентные преимущества.

«Норникель» во исполнение законодательных требований, а также на основании добровольно принятых на себя обязательств ведет активную деятельность по внедрению антикоррупционных мер и осуществляет учет и контроль представительских расходов. Также в Компании установлены единые для всех работников требования по предоставлению и получению деловых подарков, закрепленные в Положении об обмене деловыми подарками. Регулярно проводится антикоррупционная экспертиза внутренних документов, и наличие в документах коррупциогенных факторов не допускается.

Ежегодно проводится оценка коррупционных рисков, а их мониторинг осуществляется ежеквартально.

Раз в два года Компания предоставляет в Российский союз промышленников и предпринимателей Декларацию о соблюдении положений Антикоррупционной хартии российского бизнеса, тем самым подтверждая свое соответствие антикоррупционным требованиям.

Все сотрудники Компании при приеме на работу проходят ознакомление с Политикой в области антикоррупционной деятельности и подписывают соглашение, закрепляющее их обязательства в области противодействия коррупции, проходят вводный инструктаж по вопросам противодействия коррупции.

Компания регулярно проводит обучение сотрудников и вовлекает их в реализацию антикоррупционных программ. В Компании для всех сотрудников разработан дистанционный курс «Противодействие коррупции», а также курс для HR-функции «О соблюдении антикоррупционного законодательства работниками служб персонала». Доля сотрудников, проинформированных о политиках Группы по противодействию коррупции, на конец 2021 года составляет 100%. Обучение законодательным требованиям и положениям корпоративных документов в области противодействия коррупции в 2021 году прошли 9 805 сотрудников.

Также одним из ключевых элементов предотвращения коррупционных правонарушений является своевременное выявление конфликта интересов, а также недопущение его возникновения. В рамках Положения о предотвращении и урегулировании конфликта интересов в Компании утверждена типовая декларация, которая, заполняется кандидатом на занятие вакантной должности в Компании.

На внутреннем портале Компании организована постоянная работа раздела «Предупреждение и противодействие коррупции». В данном разделе размещается информация о принятых в Компании документах, направленных на борьбу с коррупцией, о проводимых мероприятиях по противодействию коррупции, ее профилактике, правовому просвещению и формированию основ законопослушного поведения сотрудников.

В 2021 году Департаментом внутреннего аудита была проведена оценка эффективности контролей в области антикоррупционной деятельности Группы. По итогам аудита были предложены следующие мероприятия для улучшения:

• определить единый подход по внедрению нормативных документов в области противодействия коррупции и механизмы контроля по всей Группе;
• провести дополнительное обучение работников по вопросам противодействия коррупции.

Также в настоящее время в Компании реализуется инициатива по выявлению и ранжированию коррупционных рисков, присущих бизнес-процессам, разработке и внедрению методологии по оценке и управлению коррупционными рисками. В рамках данной инициативы проведено анкетирование руководителей структурных подразделений Главного офиса Компании по идентификации наиболее коррупционных бизнес-процессов, подготовлен проект реестра коррупционных рисков, также разработана методология по управлению коррупционными рисками.

Для того чтобы снизить возможные риски при взаимодействии с подрядчиками, Компания проверяет деловую репутацию, благонадежность и платежеспособность потенциальных контрагентов. В целях предотвращения злоупотреблений в ходе закупочной процедуры и получения максимальной выгоды за счет объективного выбора наилучшего предложения в «Норникеле» исполнитель закупки, заказчик и секретарь закупочного коллегиального органа соблюдают следующие правила:

• Закупочный процесс организован с применением принципа разделения ролей.
• Коммерческие предложения квалифицированных поставщиков сравниваются по объективным и измеримым показателям, утвержденным до приглашения поставщиков к участию в закупочной процедуре.
• Результаты отбора и выбор победителя закупочной процедуры для материальных закупок утверждаются закупочным коллегиальным органом, в состав которого входят представители разных функциональных подразделений Компании.
• Ежегодно с каждым поставщиком заключается или обновляется генеральное соглашение, содержащее статью «Антикоррупционная оговорка». В данной оговорке описан порядок взаимодействия поставщика и Компании при возникновении рисков различных злоупотреблений. Дополнительно подписанием генерального соглашения поставщик подтверждает свое ознакомление с Политикой ПАО «ГМК «Норильский никель» в области антикоррупционной деятельности.

Антимонопольная деятельность

В Компании с 2017 года действует система антимонопольного комплаенса, направленная на организацию процессов своевременного предупреждения, выявления, устранения причин и условий, способствующих совершению нарушений антимонопольного законодательства; соблюдение норм действующего законодательства Компанией и организациями корпоративной структуры.

В 2020 году в Федеральный закон от 26 июля 2006 года № 135-ФЗ «О защите конкуренции», Были внесены изменения, предусматривающие требования к внутренним актам организаций в сфере антимонопольного комплаенса, а также право организаций представить такие акты в Федеральную антимонопольную службу России и, при подтверждении их соответствия установленным нормативным требованиям, получить от антимонопольного органа заключение. В рамках новой предусмотренной законом процедуры 25 марта 2021 года Компания первой в стране получила заключение Федеральной антимонопольной службы о соответствии действующей системы антимонопольного комплаенса требованиям законодательства.

Корпоративная защита

Управление системой корпоративной защиты в «Норникеле» основано на комплексе программ по обеспечению экономической, корпоративной, внутренней, объектовой, транспортной, информационной безопасности, а также прозрачности в сфере закупок и выбора контрагентов.

Компания продолжает взаимодействие с Межрегиональным научно-исследовательским институтом ООН по вопросам преступности и правосудия (UNICRI) и Управлением ООН по наркотикам и преступности (UNODC), в том числе по вопросам реализации положений Резолюции Экономического и социального совета ООН 2019/23 по борьбе с транснациональной организованной преступностью, незаконным оборотом драгоценных металлов и незаконной добычей полезных ископаемых.

В сентябре 2021 года совместно с представителями Минтранса России, федеральных агентств по видам транспорта, министерств транспорта субъектов Российской Федерации сотрудники Компании приняли участие в Х Всероссийской конференции «Транспортная безопасность и технологии противодействия терроризму — 2021». В рамках конференции внесены предложения по вопросам изменения законодательства в сфере транспортной безопасности и особенностей их исполнения.

В 2021 году проведено 325 тренировок, а также 41 учение и 6 тактико-специальных учений.

Компания на договорной основе взаимодействует с внешними подрядными организациями для обеспечения безопасности объектов. При взаимодействии соблюдаются права человека, в том числе работников частных охранных организаций. Принцип соблюдения прав человека зафиксирован в нормативных документах Блока корпоративной защиты.

Информационная безопасность

Программы

В условиях пандемии COVID-19 и сохранения удаленного режима работы для части сотрудников в Компании принимаются дополнительные меры по обеспечению информационной безопасности (ИБ) корпоративных ресурсов и инфраструктуры. Действуют усиленные требования к безопасности удаленных компьютеров и устройств, используемых при проведении аудио- и видеоконференций, и контроль за ней. Ведется ежедневный мониторинг удаленной работы, актуализируются памятки и инструкции для пользователей.

Продолжается реализация запланированных мероприятий и программ по защите корпоративных информационных систем и автоматизированных систем управления технологическими процессами (АСУТП) по всей Группе. Ведется работа по сопровождению проектов программы ИТ-инициатив, выполняются проекты по внедрению средств защиты для реализации целевой архитектуры ИБ.

Компания провела оценку ключевых информационных систем (класса критичности «А») в части соответствия требованиям утвержденных корпоративных стандартов по ИБ.

Основные правила в данной сфере сведены в единый нормативный документ — Методические рекомендации по допустимому использованию информационных активов. Процедуры информационной безопасности, в которые вовлечены сотрудники Компании, в частности, включают:

• идентификацию и классификацию информационных активов;
• повышение осведомленности в области ИБ;
• управление доступом к информационным активам;
• управление инцидентами ИБ;
• экспертизу ИТ-проектов в части требований ИБ.

Тренинги и обучение

При трудоустройстве проводится проверка знаний кандидатов и дополнительный инструктаж в сфере информационной безопасности. Кроме того, разработан и утвержден Регламент повышения осведомленности в области информационной безопасности, действуют ежегодные планы обучения работников, сформированные с учетом актуальных тенденций, вновь выявленных рисков и киберугроз. Обучение и проверку знаний по информационной безопасности проходят все работники Группы в среднем один раз в год. Всего в 2021 году было проведено 69 тренингов в формате электронных курсов, обучение прошли 10 170 сотрудников Группы.

Система
РЕАГИРОВАНИЯ НА КИБЕРИНЦИДЕНТЫ

В Компании действует Центр реагирования на инциденты информационной безопасности, который в своей деятельности использует ряд передовых технических решений, а также лучшие отечественные и мировые практики управления процессами киберзащиты. Разработаны и документированы процессы и процедуры обеспечения непрерывности информационной безопасности в случае нештатных и чрезвычайных ситуаций. Актуальность разработанных процедур регулярно проверяется путем тестирования, проводимого не реже одного раза в квартал.

Процесс
ИНФОРМИРОВАНИЯ О ПОДОЗРИТЕЛЬНЫХ ДЕЙСТВИЯХ

Для повышения уровня корпоративной системы информационной безопасности периодически проводятся учения и тесты, включающие в том числе имитации фишинговых атак и иных способов незаконного воздействия на корпоративные ИТ-инфраструктуры. По итогам учений актуализируются инструкции для сотрудников, результаты включается в ежеквартальный бюллетень, рассылаемый руководителям структурных подразделений Компании. Дополнительно для информирования сотрудников об актуальных угрозах информационной безопасности и правилах цифровой гигиены на регулярной основе организуются тематические информационные рассылки.

В случае обнаружения пользователями подозрительного контента или активностей по заранее подготовленным каналам связи информация пересылается в корпоративный Центр реагирования на инциденты информационной безопасности, где происходит оценка возможного деструктивного влияния на информационные системы Компании и обеспечивается планирование и реализация мер, направленных на предотвращение и (или) устранение последствий.

Сертификация

В соответствии с требованиями международного стандарта ISO/IEC 27001:2013 и с учетом ведущих мировых практик на предприятиях «Норникеля» последовательно внедряются и совершенствуются системы управления информационной безопасностью (СУИБ). К концу 2021 года СУИБ были внедрены и подтвердили свою эффективность для процессов:

перевозки грузов морем в Мурманском транспортном филиале (МТФ);

оперативного управления производством, обеспечения сырьем и технологическими материалами, а также контроля выполнения плановых показателей по производству и отгрузке готовой продукции в Заполярном филиале.

Для демонстрации соответствия стандарту ISO/IEC 27001:2013 системы управления информационной безопасностью «Норникеля» ежегодно проходят внешний аудит от независимого сертификационного органа. 2021 год стал первым в истории Компании, когда был проведен ресертификационный аудит флагмана корпоративных СУИБ – в МТФ. Это означает, что СУИБ МТФ была впервые с момента внедрения (в 2017 году) проверена заново и полностью на соответствие требованиям стандарта, однако дополнительно предъявлялись серьезные требования к наличию фактов значительных улучшений в элементах управления информационной безопасностью. Сотрудники, входящие в область действия СУИБ МТФ показали отличные знания в области информационной безопасности, а Компания в целом продемонстрировала контроль над рисками и готовность к неожиданным изменениям, доказав свою способность достигать поставленных целей.

Также в 2021 году расширился список площадок, на которых внедрена сертифицированная СУИБ. Так в сентябре 2021 года был проведен сертификационный аудит Талнахской обогатительной фабрики (ТОФ), что позволило продемонстрировать единство подходов к управлению информационной безопасностью на предприятиях Заполярного филиала.

Всего в 2021 году в «Норникеле» прошло четыре аудита от международного сертификационного органа: помимо ресертификационного аудита СУИБ МТФ и сертификационного аудита СУИБ ТОФ еще для двух площадок Заполярного филиала были проведены надзорные аудиты для проверки непрерывного улучшения СУИБ. На Надеждинском металлургическом заводе и Медном заводе аудитор убедился в наличии контроля над ранее выявленными наблюдениями и выборочно проверил выполнение требований стандарта.

Участие
МЕНЕДЖМЕНТА В ПРОЦЕССЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В Компании действует Политика информационной безопасности, которая распространяется на всех сотрудников и в том числе определяет участие и ответственность Совета директоров и Правления Компании в данной области. К их компетенции относятся в том числе вопросы организации системы управления рисками информационной безопасности, а также рассмотрение и утверждение бюджетов программ и проектов в данной сфере.

Партнерства
и обмен опытом

На национальном уровне уже четыре года успешно функционирует отраслевое объединение — Клуб «Безопасность информации в промышленности» («БИП-Клуб»), основанный в 2017 году компанией «Норникель». В его работе участвуют руководители направлений информационной безопасности крупных промышленных холдингов России. «БИП-Клуб» является эффективной площадкой для обмена лучшими практиками, опытом, экспертизой в области информационной безопасности в промышленности.

В рамках тематики международной информационной безопасности «Норникель» поддерживает сотрудничество с Советом безопасности Российской Федерации и Министерством иностранных дел Российской Федерации, участвует в выработке и обсуждении позиционных документов в данной области. Компания также принимает участие в работе Национальной ассоциации международной информационной безопасности (НАМИБ) и сотрудничает с Международным исследовательским консорциумом информационной безопасности (МИКИБ/IISRC).

Значимым аспектом взаимодействия с бизнес-партнерами является развитие и продвижение на международном уровне темы обеспечения безопасности цепочек поставок драгоценных металлов: «Норникель» участвует в диалоге по этому вопросу в рамках таких международных площадок, как Комиссия ООН по предупреждению преступности и уголовному правосудию, Комитет безопасности Международной ассоциации металлов платиновой группы (МПА/IPA), а также в рамках работы Смешанного межправительственного комитета по торгово-экономическому сотрудничеству между Россией и ЮАР.

Независимый аудит

Выбор независимой аудиторской организации для осуществления аудита финансовой отчетности ПАО «ГМК «Норильский никель» проводится на конкурсной основе в соответствии с действующим в Компании порядком. Комитет Совета директоров по аудиту, рассмотрев результаты предварительного отбора, дает рекомендацию Совету директоров по кандидатуре аудитора для утверждения на годовом Общем собрании акционеров ПАО «ГМК «Норильский никель».

В 2021 году Общее собрание акционеров по рекомендации Совета директоров ПАО «ГМК «Норильский никель» в качестве аудитора утвердило компанию АО «КПМГ» для проведения аудиторской проверки финансовой отчетности по РСБУ и МСФО ПАО «ГМК «Норильский никель» за 2021 год.

Также Комитетом по аудиту при Совете директоров была положительно отмечена эффективная совместная работа менеджмента Компании и аудиторской организации АО «КПМГ» при проведении аудиторской проверки Группы за 2020 год с учетом достигнутого ускорения сроков публикации консолидированной финансовой отчетности в условиях существенных ограничений, связанных с COVID-19.

Общая сумма вознаграждения АО «КПМГ» в 2021 году составила 335,1 млн руб. (4,6 млн долл. США) без НДС, включая вознаграждение за аудиторские и неаудиторские услуги. При этом доля вознаграждения за неаудиторские услуги составила 48% от общей суммы вознаграждения.

Для предотвращения конфликта интересов между оказанием аудиторских и неаудиторских услуг в АО «КПМГ» действует определенная политика в отношении различных видов услуг, которые они оказывают компаниям. Эта политика обеспечивает выполнение требований, установленных Комитетом по международным этическим стандартам для бухгалтеров (IESBA), российскими правилами независимости аудиторов и аудиторских организаций, а также иными применимыми требованиями.