Интегрированный годовой отчет 2023
ҚАЗ
РУС
ENG
Главная Отчет о корпоративном управлении Управление рисками и внутренними контролями

Управление рисками и внутренними контролями

В наши дни развивающиеся риски в области телекоммуникаций включают в себя угрозы кибербезопасности, изменения в законодательстве и регулировании, а также технологические вызовы, такие как внедрение 5G и интернета вещей (IoT). Увеличивается число кибератак на сети связи, что может привести к утечкам конфиденциальной информации, нарушениям работы сети и серьезным последствиям для бизнеса и общества в целом.

АО «Казахтелеком» – крупнейший оператор связи в Казахстане, играет важную роль в содействии в развитии телекоммуникационной инфраструктуры и обеспечении безопасности связи в стране. Компания активно внедряет современные технологии и стремится укрепить кибербезопасность своих сетей, чтобы защитить информацию своих клиентов и обеспечить бесперебойное функционирование услуг связи. Это обеспечивается в том числе функционированием в АО «Казахтелеком» корпоративной системы управления рисками и внутренних контролей (КСУРиВК), направленной на защиту активов, совершенствование бизнес-процессов, повышение эффективности деятельности и соответствие нормативным актам применимого законодательства.

Своевременное выявление несоответствий и источников неэффективности, анализ и прогнозирование различных сценариев развития событий, разработка мероприятий по своевременному предупреждению или снижению влияния рисков вносят существенный вклад в достижение операционных и стратегических целей Компании.

Модель системы управления рисками и внутреннего контроля

Модель функционирования КСУРиВК Компании предполагает вовлечение всех уровней корпоративного управления в деятельность по своевременной идентификации и управлению рисками и несоответствиями и включает выстраивание компонентов КСУРиВК на стратегическом и тактическом уровнях управления, а также обеспечение независимой оценки и надзора за его функционированием.

Основные задачи, направленные на достижение целей Системы внутреннего контроля

Формирование и актуализация основных направлений развития Системы внутреннего контроля (СВК) в соответствии с потребностями Компании и требованиями заинтересованных сторон.

Оценка рисков бизнес-процессов, разработка, внедрение и выполнение контрольных процедур, включая единое методологическое обеспечение организации и эффективного функционирования СВК в Компании.

Выявление недостатков существующих контрольных процедур, разработка и реализация мероприятий по их устранению, типизация и регламентация контрольных процедур.

Разработка и внедрение механизмов взаимодействия и обмена информацией по внутреннему контролю между субъектами СУРиВК для посторения превентивной системы выявления операционных рисков, в том числе с использованием информационных систем.

Также одной из ключевых задач системы внутреннего контроля является обеспечение прозрачности и достоверности финансовой отчетности Компании.

В целях формализации системы внутреннего контроля над процессом подготовки финансовой отчетности в Компании:

  • определены и описаны существенные бизнес-процессы, влияющие на подготовку финансовой отчетности;
  • внедрена и разграничена ответственность за выполнение контрольных процедур и обеспечение их эффективного выполнения;
  • осуществляется периодическая актуализация элементов СВК;
  • проводится постоянный мониторинг и осуществляется регулярная оценка эффективности контрольных процедур.

В Компании разработаны основные нормативные документы, регламентирующие порядок и принципы функционирования системы внутреннего контроля: Политика системы внутреннего контроля, Правила по управлению системой внутреннего контроля. В документах определены:

  • цели и принципы построения системы внутреннего контроля;
  • распределение функций субъектов внутреннего контроля;
  • основные шаги и процедуры процесса внутреннего контроля, ответственных и сроки их выполнения (функционирования, совершенствования и диагностики);
  • обновление описания бизнес-процессов системы внутреннего контроля;
  • проведение диагностики (оценки эффективности) системы внутреннего контроля и порядок подготовки и предоставления отчетности о состоянии системы внутреннего контроля.

В рамках вышеуказанных задач в Компании проводится работа по выявлению рисков бизнес-процессов, разработке и внедрению контрольных процедур, что способствует повышению эффективности и управляемости бизнес-процессов, обеспечению достоверности финансовой отчетности, соблюдения требований законодательства и локальных нормативных документов Компании.

Организационная структура корпоративной системы управления рисками

Компания осознает, что эффективное управление рисками достигается только тогда, когда в процесс вовлечен каждый сотрудник. Поэтому мы постоянно развиваем риск-ориентированную культуру, ключевыми аспектами которой являются:

«Тон сверху»
Руководство Компании выступает примером для сотрудников при обсуждении, выявлении и оценке рисков, а также активно участвует в управлении рисками.
Культурный спектр
Приветствуется своевременное предоставление информации о рисках. Допускается принятие рисков, если они не являются критичными, но могут способствовать развитию бизнеса. Сами риски рассматриваются не только как потенциально негативное событие, но и как возможность улучшения процессов в Компании.
Вовлеченность
Для сотрудников организовано обучение управлению рисками, разрабатываются доступные методические материалы, организованы каналы коммуникации и поддержки.

Система внутреннего контроля

Система внутреннего контроля в Компании разработана на основе рекомендаций ряда лучших международных практик в области управления рисками и внутреннего контроля, в том числе, Комитета спонсорских Организаций Комиссии Трэдвэй (COSO), TMForum, стандартов серии ISO. Система внутреннего контроля Компании основывается на модели трех линий защиты (подробнее о модели трех линий защиты читайте в нашем Годовом отчете за 2021 год). Ответственность за ее функционирование в Компании распределена следующим образом:

Первая линия защиты
Руководство (владелец процесса) несет основную ответственность за управление рисками, связанными с повседневной операционной деятельностью. Кроме того, в обязанность первой линии входят разработка, обеспечение функционирования и внедрение средств контроля.
Вторая линия защиты
Выявляет возникающие риски в повседневной деятельности организации. С этой целью обеспечивает наличие необходимых концепций, документов политики, инструментов и технологий.
Третья линия защиты
Оценка эффективности СВК, ответственность за предоставление отчетности Правлению и аудиторскому комитету, а также предоставление аудиторского подтверждения регуляторам и внешним аудиторам, демонстрирующего эффективность структуры и функционирования культуры контроля в организации.

Интеграция управления рисками с кросс-функциональными процессами Компании

Взаимосвязь управления рисками со стратегическим планированием, с бюджетированием, реализацией инвестиционных проектов и продуктов и прочими процессами:

Стратегическое планирование
При разработке стратегических планов проводятся выявление и анализ рисков, влияющих на достижение поставленных стратегических целей.
Бюджетирование
Анализ и учет рисков, связанных с недостижением основных финансовых КПЭ.
Инвестиционное планирование проектов и продуктов
Анализ и учет проектных и продуктовых рисков, связанных с недостижением NPV и других показателей с последующим формированием мероприятий по нивелированию рисков.
Обучение
Для сотрудников, вовлеченных в управление рисками, регулярно проводятся программы по повышению квалификации. Обучающий курс «По управлению рисками и внутренними контролями» доступен всем сотрудникам Компании.

Управление рисками в 2023 году

На ежегодной основе проводится идентификация рисков Компании, результаты которой отражаются в Регистре и Карте рисков, утверждаемых Советом директоров. В регистр рисков включены риски, способные оказать воздействие на достижение долгосрочных стратегических целей и ключевых показателей деятельности Плана развития.

Согласно Регистру и Карте рисков на конец 2023 года в Компании 23 риска:

Карта рисков Компании

Ключевые риски 2023 года

Департаментом управления рисками и внутренних контролей проводится постоянный мониторинг за динамикой ключевых рисков и контроль над выполнением мероприятий, направленных на митигацию рисков. Результаты мониторинга ежеквартально направляются в виде отчетности по управлению рисками и внутренним контролям Совету директоров Компании.

Компания реализует мероприятия по проактивному управлению ключевыми рисками для снижения их влияния на цели Компании.

Ключевые риски и предпринятые мероприятия по снижению рисков в 2023 году:
Сохранность физических активов

Мероприятия, предпринятые Компанией по снижению риска

  • Обеспечение охраны и систем технической защиты объектов Компании.
  • Реализация бизнес-плана «Пожарная безопасность 2023».
Правовой риск

Мероприятия, предпринятые Компанией по снижению риска

  • Оформление имущественных прав на неоформленные участки кабельной канализации и земельные участки, пролонгация прав собственности на объекты с истекшим сроком действия.
ФРОД

Мероприятия, предпринятые Компанией по снижению риска

  • Проводится профилактика и пресечение нарушений в сфере фрод со стороны работников Компании.
  • Осуществляются проверки структурных подразделений Центрального аппарата и филиалов Компании.
Риск качества

Мероприятия, предпринятые Компанией по снижению риска

  • Замена устаревшего оборудования абонентам по пилотному проекту Цунами.
  • Разработана отчетность для контроля и мониторинга соответствия параметров предоставляемых услуг, указанных в технической спецификации (конкурсной документации)/договоров и подписок в CRM 2.0.
  • Реализован функционал автоматизированного перерасчета за простой сервисов по вине Компании в программных комплексах CRM 2.0 СЕРВИС и службы технической поддержки клиентов.
Риск по инновациям

Мероприятия, предпринятые Компанией по снижению риска

  • Актуализованы продуктовые страницы по новым бизнесам.
  • Доработка и модернизация продукта Blockchain.
Регуляторный риск

Мероприятия, предпринятые Компанией по снижению риска

  • Утверждение Дорожной карты по обеспечению 100% охвата средствами СОРМ фиксированной телефонной связи.
  • Обеспечение функционалом СОРМ сети передачи данных в 10 городах.
  • Обеспечение функционалом СОРМ услугу FWA.
Кадровый риск

Мероприятия, предпринятые Компанией по снижению риска

  • В течение года выполнен Комплексный план мероприятий по обеспечению социальной стабильности в группе компаний АО «Казахтелеком».
  • В течение года выполнен План мероприятий по работе над тревожными зонами на 2023 год.
Нарушение информационной безопасности

Мероприятия, предпринятые Компанией по снижению риска

  • Реализация проекта «Модернизация средств защиты информационной безопасности».

Развивающиеся риски и возможности

В целях обеспечения превентивных мер по управлению рисками были определены следующие развивающиеся риски, которые еще не отражены на Карте рисков, но возможно в дальнейшем могут быть включены.

В настоящее время наблюдается увеличение внимания к кибер-рискам, которые рассматриваются как один из основных глобальных рисков для финансового сектора и экономики в целом. Риски информационно-коммуникационных технологий, которым подвергаются предприятия, постоянно возрастают как по частоте, так и по серьезности кибератак. Утечки данных с целью кражи личной информации в мире происходят ежедневно, но только самые крупные из них попадают в заголовки СМИ.

Тем не менее использование искусственного интеллекта (ИИ) предоставляет также широкий спектр положительных влияний:

  • Автоматизация и оптимизация процессов: ИИ позволяет автоматизировать рутинные задачи, ускоряя процессы и повышая эффективность работы в различных областях, от производства до обслуживания клиентов.
  • Развитие технологий безопасности: ИИ улучшает системы безопасности, позволяя обнаруживать аномальное поведение и предотвращать кибератаки и другие угрозы безопасности данных.
Развивающиеся риски
Внутренние
  • Нарушение процесса закупок;
  • Риски потери частот;
  • Геоэкономическое противостояние;
  • Несвоевременное исполнение обязательств по реализации проекта 5G мобильными операторами.
Внешние
  • Межгосударственный вооруженный конфликт;
  • Нехватка природных ресурсов;
  • Негативные последствия технологий искусственного интелекта.

Развитие КСУРиВК в 2023 году

Непрерывное развитие и совершенствование КСУРиВК позволяет Компании своевременно реагировать на изменения во внешней среде и внутренних бизнес-процессах, повышать эффективность своей деятельности, а также способствует увеличению акционерной стоимости Компании.

Основные результаты мероприятий по развитию КСУРиВК в 2023 году
Мероприятия по развитию КСУРиВК Результат
Разработка и совершенствование методологии СУРиВК
  • Актуализирована Политика управления рисками АО «Казахтелеком».
  • Актуализированы Правила по управлению системой внутреннего контроля АО «Казахтелеком».
  • Актуализирована Методика расчета и каскадирования риск-аппетита АО «Казахтелеком».
Разработка и реализация программы обучения работников
  • Для развития профессиональных компетенций работников усовершенствованы обучающие семинары по темам риск-менеджмента и внутренних контролей.
Развитие аппарата оценки рисков с использованием экономико-математических моделей и экспертных оценок
  • Разработаны Модели по количественной оценке отдельных рисков.
  • Актуализирована Методика по проведению Рисковой экспертизы инвестиционных проектов.
Улучшение и поддержание Системы внутреннего контроля
  • Утверждена Карта гарантий АО «Казахтелеком» и Методика ее формирования.

Направления развития КСУРиВК

В контексте непредсказуемой бизнес-среды, где мы сталкиваемся с новыми вызовами и высокой волатильностью, мы понимаем необходимость постоянного улучшения нашей модели управления рисками и внутренними контролями. Мы четко определили наши цели и направление движения, основываясь на основополагающих концепциях и стандартах. Мы активно работаем над внедрением улучшений, осознавая, куда идем и каким образом достигнем поставленных целей в области управления рисками и внутренними контролями.

Основываясь на следующих компонентах:

  • Корпоративное управление и культура.
  • Стратегия и постановка целей.
  • Эффективность деятельности.
  • Мониторинг и внедрение изменений.
  • Информация, коммуникации и отчетность.
  • Контрольные процедуры.
Глоссарий
Контакты
© 2023 АО «Казахтелеком»