инвестируя в качество — создаем будущее!

pdf Қаз Рус Eng

Управление рисками и внутренними контролями

КСУРиВК направлена на обеспечение разумной уверенности в достижении целей, поставленных перед АО «­Казахтелеком» органом управления.

В наши дни развивающиеся риски в области телекоммуникаций включают в себя угрозы кибербезопасности, изменения в законодательстве и регулировании, а также технологические вызовы, такие как внедрение 5G и интернета вещей (IoT). Увеличивается число кибератак на сети связи, что может привести к утечкам конфиденциальной информации, нарушениям работы сети и серьезным последствиям для бизнеса и общества в целом.

АО «Казахтелеком» — крупнейший оператор связи в Казахстане, играет важную роль в содействии в развитии телекоммуникационной инфраструктуры и обеспечении безопасности связи в стране. Компания активно внедряет современные технологии и стремится укрепить кибербезопасность своих сетей, чтобы защитить информацию своих клиентов и обеспечить бесперебойное функционирование услуг связи. Это обеспечивается в том числе функционированием в «АО Казахтелеком» корпоративной системы управления рисками и внутренних контролей (КСУРиВК), направленной на защиту активов, совершенствование бизнес-процессов, повышение эффективности деятельности и соответствие нормативным актам применимого законодательства.

Своевременное выявление несоответствий и источников неэффективности, анализ и прогнозирование различных сценариев развития событий, разработка мероприятий по своевременному предупреждению или снижению влияния рисков вносят существенный вклад в достижение операционных и стратегических целей Компании.

Модель системы управления рисками и внутреннего контроля

Модель функционирования КСУРиВК Компании предполагает вовлечение всех уровней корпоративного управления в деятельность по своевременной идентификации и управлению рисками и несоответствиями и включает выстраивание компонентов КСУРиВК на стратегическом и тактическом уровнях управления, а также обеспечение независимой оценки и надзора за его функционированием.

Основные задачи, направленные на достижение целей Системы внутреннего контроля

Формирование и актуализация основных направлений развития Системы внутреннего контроля (СВК) в соответствии с потребностями Компании и требованиями заинтересованных сторон.

Оценка рисков бизнес-процессов, разработка, внедрение и выполнение контрольных процедур, включая единое методологическое обеспечение организации и эффективного функционирования СВК в Компании и ДЗО.

Выявление недостатков существующих контрольных процедур, разработка и реализация мероприятий по их устранению, типизация и регламентация контрольных процедур.

Разработка и внедрение механизмов взаимодействия и обмена информацией по внутреннему контролю между субъектами СУРиВК для посторения превентивной системы выявления операционных рисков, в том числе с использованием информацион­ных систем.

В рамках вышеуказанных задач в Компании проводится работа по выявлению рисков бизнес-процессов, разработке и внедрению контрольных процедур, а также своевременному пересмотру их актуальности, что способствует повышению эффективности и управляемости бизнес-процессов, обеспечению достоверности финансовой отчетности, соблюдения требований законодательства и локальных нормативных документов Компании.

Организационная структура корпоративной системы управления рисками

Первая линия

Оперативное управление рисками

Кураторы рисков, владельцы рисков, бизнес-процессов и контролей

  • Идентификация, оценка, регулирование и минимизация рисков;
  • Обеспечение эффективной системы внутреннего контроля.

Вторая линия

Функции контроля и мониторинга

Контрольные подразделения, Департамент управления рисками и внутренних контролей

  • Координация и совершенствование процесса управления рисками и внутреннего контроля;
  • Мониторинг и контроль системы управления рисками и внутреннего контроля;
  • Соблюдение внутренних корпоративных требований;
  • Соблюдение требований законодательства.

Третья линия

Независимая оценка

Внутренний аудит

  • Независимая оценка эффективности системы управления рисками, внутреннего контроля и корпоративного управления.

Компания осознает, что эффективное управление рисками достигается только тогда, когда в процесс вовлечен каждый сотрудник. Поэтому мы постоянно развиваем риск-ориентированную культуру ключевыми аспектами которой являются:

«Тон сверху»

Руководство Компании выступает примером для сотрудников при обсуждении, выявлении и оценке рисков, а также активно участвует в управлении рисками.

Культурный спектр

Приветствуется своевременное предоставление информации о рисках. Допускается принятие рисков, если они не являются критичными, но могут способствовать развитию бизнеса. Сами риски рассматриваются не только как потенциально негативное событие, но и как возможность улучшения процессов в Компании.

Вовлеченность

Для сотрудников организовано обучение управлению рисками, разрабатываются доступные методические материалы, организованы каналы коммуникации и поддержки.

Система внутреннего контроля

В Компании разработаны и регулярно обновляются нормативные документы, определяющие порядок и принципы функционирования системы внутреннего контроля, включая Политику системы внутреннего контроля и Правила управления системой внутреннего контроля. В актуализированной документации определены:

  • цели и принципы построения системы внутреннего контроля;
  • распределение функций субъектов внутреннего контроля;
  • основные шаги и процедуры процесса внутреннего контроля, ответственных и сроки их выполнения (функционирования, совершенствования и диагностики);
  • порядок актуализации описания бизнес-процессов системы внутреннего контроля;
  • проведение диагностики (оценки эффективности) системы внутреннего контроля и порядок подготовки и предоставления отчетности о состоянии системы внутреннего контроля, и том числе выявленных недостатках системы внутреннего контроля над процессом подготовки финансовой отчетности;
  • проведение независимой оценки системы внутреннего контроля над процессом подготовки финансовой отчетности и отдельных ее компонент внутренним аудитом организации.

Система внутреннего контроля в Компании разработана на основе рекомендаций ряда лучших международных практик в области управления рисками и внутреннего контроля, в том числе, Комитета спонсорских Организаций Комиссии Трэдвэй (COSO), TMForum, стандартов серии ISO. Система внутреннего контроля Компании основывается на модели трех линий защиты.

Ответственность за ее функционирование в Компании распределена на основании «модели трех линий защиты» следующим образом:

Первая линия защиты

Руководство (владелец процесса) несет основную ответственность за управление рисками, связанными с повседневной операционной деятельностью. Кроме того, в обязанность первой линии входят разработка, обеспечение функционирования и внедрение средств контроля и мониторинг их исполнения.

Вторая линия защиты

Выявляет возникающие риски в повседневной деятельности организации и осуществляет контроль за соблюдением регуляторных требований и внутренних нормативных документов. С этой целью обеспечивает наличие необходимых концепций, документов политики, инструментов и технологий.

Третья линия защиты

Оценка эффективности СВК, ответственность за предоставление отчетности Правлению и аудиторскому комитету, а также предоставление аудиторского подтверждения регуляторам и внешним аудиторам, демонстрирующего эффективность структуры и функционирования культуры контроля в организации.

В АО «Казахтелеком» формализована система внутреннего контроля над процессом подготовки финансовой отчетности. Основными этапами построения и поддержания эффективной системы внутреннего контроля над процессом подготовки финансовой отчетности в Обществе является:

  • описание существенных бизнес-процессов подготовки финансовой отчетности;
  • выявление и оценка рисков на уровне бизнес-процессов (влияющих на достоверность отчетности), а также разграничение ответственности за управление данными рисками;
  • описание, оценка и внедрение контрольных процедур, направленных на снижение рисков на уровне бизнес-процессов;
  • описание, оценка и внедрение контрольных процедур корпоративного уровня, а также разграничение ответственности за их выполнение;
  • описание, оценка и внедрение общих ИТ контролей, а также разграничение ответственности за их выполнение;
  • своевременное доведение информации до заинтересованных лиц.

Интеграция управления рисками с кросс-функциональными процессами Компании

Взаимосвязь управления рисками со стратегическим планированием, с бюджетированием, реализацией инвестиционных проектов и продуктов и прочими процессами:

Стратегическое планирование

При разработке стратегических планов проводятся выявление и анализ рисков, влияющих на достижение поставленных стратегических целей.

Бюджетирование

Анализ и учет рисков, связанных с недостижением основных финансовых КПЭ.

Инвестиционное планирование проектов и продуктов

Анализ и учет проектных и продуктовых рисков, связанных с недостижением NPV и других показателей с последующим формированием мероприятий по нивелированию рисков.

Обучение

Для сотрудников, вовлеченных в управление рисками, регулярно проводятся программы по повышению квалификации. Обучающий курс «По управлению рисками и внутренними контролями» доступно всем сотрудникам Компании. Дополнительно в 2024 году было организовано обучение риск — координаторов филиалов Компании.

Управление рисками в 2024 году

На ежегодной основе проводится идентификация рисков Компании, результаты которой отражаются в Регистре и Карте рисков, утверждаемых Советом Директоров. В регистр рисков включены риски, способные оказать воздействие на достижение долгосрочных стратегических целей и ключевых показателей деятельности Плана развития.

Согласно Регистру и Карте рисков на конец 2024 года в Компании 24 риска:

На карту рисков АО «Казахтелеком», в соответствии с Регистром рисков, нанесены 24 риска, учитывающие показатели вероятности наступления и величины воздействия. Построение карты рисков дает возможность:

  • определить перечень ключевых рисков и разработать планы мероприятий для их эффективного управления;
  • установить приоритетность рисков и организовать оптимальное распределение финансовых ресурсов.

Экологические/климатические риск-факторы

В Регистре Компании зафиксирован «Экологический/климатический риск», включающий следующие факторы:

  • Низкое качество топлива, неисправность автотранспортных средств и котельных.
  • Несоответствие требованиям законодательства в области охраны окружающей среды и санитарных норм, недостаточная осведомленность сотрудников компании.
  • Нарушение требований по обращению с отходами и сточными водами.
  • Отсутствие отдельного структурного подразделения, отвечающего за экологические вопросы.
  • Накопление ртутьсодержащих ламп, автомобильных шин и других материалов, которые не утилизируются.
  • Недостаточное финансирование для проведения утилизации.
  • Отсутствие обучения сотрудников по экологическим вопросам.

Идентифицированные риски систематизируются в Регистре рисков по следующим категориям:

  • Финансовые риски — риски, связанные со структурой капитала, рыночными колебаниями, ликвидностью, кредитными рисками и изменениями валютных и процентных ставок.
  • Правовые риски — убытки из-за несоответствия законодательству Республики Казахстан и других стран.
  • Операционные риски — убытки из-за ошибок во внутренних процессах, деятельности персонала, информационных системах, производственной безопасности и внешних факторов.
  • Стратегические риски — убытки из-за ошибок в стратегии, изменений политической среды, отраслевых спадов, новых продуктов, инвестиций и слияний. В корпоративном регистре зарегистрировано 7 стратегических рисков, 5 из которых находится в ключевой зоне:
  • Рост оттока;
  • Уменьшение доли группы АО «Казахтелеком» на телекоммуникационном рынке;
  • Риски проектов;
  • Регуляторный риск;
  • Риск потери РЧС.

По каждому из рисков ключевой зоны разработаны планы мероприятий по управлению риском.

Постоянное развитие и улучшение КСУРиВК дает возможность Компании оперативно адаптироваться к изменениям внешней среды и внутренних бизнес-процессов, повышать свою эффективность и способствует росту акционерной стоимости. Согласно актуализированным Правилам идентификации, оценки и мониторинга рисков АО «Казахтелеком» были изменены пороговые значения карты рисков и цветовая палитра, что позволяет более адекватно отражать реальную ситуацию при оценке рисков.

Кроме того, в 2024 году Департамент рисков перешел под руководство управляющего директора по финансовому контролю и рискам, совместно с Департаментом финансового контроля. В связи с этим в регламент проведения ревизий и проверок будут внесены изменения с акцентом на риски и внутренние контроли.

Ключевые риски 2024 года

Департамент управления рисками и внутренних контролей осуществляет регулярный мониторинг изменений ключевых рисков, а также контролирует выполнение мероприятий, направленных на их снижение. Результаты мониторинга отражаются в отчетности по управлению рисками и внутренним контролям, которая ежеквартально представляется на рассмотрение Совета директоров Компании.

В рамках проактивного подхода Компания внедряет меры по управлению ключевыми рисками, чтобы минимизировать их влияние на достижение стратегических целей:

Ключевые риски и предпринятые мероприятия по снижению рисков:

Сохранность физических активов

  • Обеспечение охраны и систем технической защиты объектов Компании;
  • Реализация бизнес-плана «Пожарная безопасность 2024».

Уменьшение доли группы АО «Казахтелеком» на телекоммуникационном рынке

  • Расширена экосистемы E-Kassa –кассового ядра и мобильного приложения;
  • Внедрены новые сервисы и продукты в личный кабинет ОФД.

Риск потери РЧС

  • Реализация мероприятий по сохранению неиспользуемых частот.

Ухудшение финансовой устойчивости

  • Увеличены планы по доходам EBITDA;
  • Оптимизированы планы по расходам EBITDA.

Правовой риск

  • Оформление имущественных прав на неоформленные участки кабельной канализации и земельные участки, пролонгация прав собственности на объекты с истекшим сроком действия;
  • Разработка Базы регламентирующих документов «Исполнительное производство».

Регуляторный риск

  • Утверждение Дорожной карты по обеспечению 100% охвата средствами СОРМ фиксированной телефонной связи;
  • Обеспечение функционалом СОРМ сети передачи данных в 10 городах;
  • Обеспечение функционалом СОРМ услугу FWA.

ФРОД

  • Проводится профилактика и пресечение нарушений в сфере фрод со стороны работников Компании;
  • Осуществляются проверки структурных подразделений Центрального аппарата и филиалов Компании.

Кадровый риск

  • В течение года выполнен Комплексный план мероприятий по обеспечению социальной стабильности в Группе компаний АО «Казахтелеком»;
  • В течение года исполнение Плана мероприятий по производственной безопасности АО «Казахтелеком» на 2024 год.

Риск качества

  • Реализован проект «SAPA+», направленный на улучшение интернет-соединения по Wi-FI у клиентов АО «Казахтелеком»;
  • Реализован проект «ТАЗАРТУ» переход медной инфраструктуры на оптические сети.

Нарушение информационной безопасности

  • Реализация проекта «Модернизация средств защиты информационной безопасности»;
  • Проведены мероприятия по осведомленности работников Компании о правилах и требованиях ИБ.

Развивающиеся риски и возможности

В целях обеспечения превентивных мер по управлению рисками были определены следующие развивающиеся риски, которые еще не отражены на карте рисков, но возможно в дальнейшем могут быть включены.

В настоящее время наблюдается увеличение внимания к киберрискам, которые рассматриваются как один из основных глобальных рисков для финансового сектора и экономики в целом. Риски информационно-коммуникационных технологий, которым подвергаются предприятия, постоянно возрастают как по частоте, так и по серьезности кибератак. Утечки данных с целью кражи личной информации в мире происходят ежедневно, но только самые крупные из них попадают в заголовки СМИ.

Тем не менее использование искусственного интеллекта (ИИ) предоставляет также широкий спектр положительных влияний:

Автоматизация и оптимизация процессов: ИИ позволяет автоматизировать рутинные задачи, ускоряя процессы и повышая эффективность работы в различных областях, от производства до обслуживания клиентов.

Развитие технологий безопасности: ИИ улучшает системы безопасности, позволяя обнаруживать аномальное поведение и предотвращать кибератаки и другие угрозы безопасности данных.

Развивающиеся риски

Внутренние

  • Срыв сроков процедуры закупок;
  • Риск потери частот;
  • Регуляторный риск;
  • Уменьшение доли рынка Компании за счет продажи МТС.

Внешние

  • Мировая геополитическая напряженность;
  • Нехватка природных ресурсов;
  • Негативные последствия технологий искусственного интелекта;
  • Технологические угрозы и кибербезопасность.

Развитие КСУР и ВК в 2024 году

Непрерывное развитие и совершенствование КСУРиВК позволяет Компании своевременно реагировать на изменения во внешней среде и внутренних бизнес-процессах, повышать эффективность своей деятельности, а также способствует увеличению акционерной стоимости Компании.

Основные результаты мероприятий по развитию КСУРиВК в 2024 году

Разработка и совершенствование методологии СУРиВК

  • Актуализированы Правила идентификации, оценки и мониторинга рисков АО «Казахтелеком»;
  • Актуализирована Методика разработки, внедрения и мониторинга системы ключевых индикаторов риска АО «Казахтелеком»;

Разработка и реализация программы обучения работников

  • Для развития профессиональных компетенций работников усовершенствованы и проведены обучающие семинары по темам риск-менеджмента и внутренних контролей;
  • Разработана видеоинструкция по заполнению Электронной Базы данных рисков, включая ответы на самые частые вопросы;
  • Проведен обучающий семинар по корпоративной системе управления рисками и внутренних контролей для риск-координаторов отдельных дивизионов Общества;

Развитие аппарата оценки рисков с использованием экономико–математических моделей и экспертных оценок

  • Разработаны Модели, по количественной оценке, отдельных рисков;
  • Актуализирована Методика по проведению Рисковой экспертизы инвестиционных проектов.

Улучшение и поддержание СВК

  • Актуализирована Карта гарантий АО «Казахтелеком»;
  • Разработаны классификаторы бизнес-процессов 3 уровня в соответствии с рекомендациями TMForum.

Направления развития КСУР и ВК

В контексте непредсказуемой бизнес-среды, где мы сталкиваемся с новыми вызовами и высокой волатильностью, мы понимаем необходимость постоянного улучшения нашей модели управления рисками и внутренними контролями. Мы четко определили наши цели и направление движения, основываясь на основополагающих концепциях и стандартах. Мы активно работаем над внедрением улучшений, осознавая, куда идем и каким образом достигнем поставленных целей в области управления рисками и внутренними контролями.

Основываясь на следующие компоненты:

  • Корпоративное управление и культура;
  • Стратегия и постановка целей;
  • Эффективность деятельности;
  • Мониторинг и внедрение изменений;
  • Информация, коммуникации и отчетность;
  • Контрольные процедуры.