Корпоративный контроль

Система управления рисками и внутреннего контроля

Организационная структура системы управления рисками и внутреннего контроля

GRI 2‑12

Под системой управления рисками и внутреннего контроля (СУРиВК) мы понимаем совокупность организационных мер, методик, процедур, норм корпоративной культуры и действий, предпринимаемых Компанией для достижения оптимального баланса между ростом стоимости, прибыльностью и рисками, для обеспечения устойчивого развития, эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, соблюдения законодательства и внутренних нормативных документов, а также для своевременной и достоверной подготовки отчетности.

Совет директоров определяет основные принципы и подходы к организации СУРиВК, контролирует деятельность исполнительных органов, а также реализует иные функции, в том числе отвечает за определение общего риск‑аппетита и рассматривает значимые риски и меры управления ими.

Основными задачами комитета совета директоров по аудиту являются оценка эффективности процедур управления рисками и внутреннего контроля и подготовка предложений по их совершенствованию. Кроме того, комитет по аудиту осуществляет контроль в области подготовки бухгалтерской (финансовой) отчетности, а также в области противодействия недобросовестным действиям сотрудников Компании и третьих лиц.

Ревизионная комиссия является органом контроля за финансово‑хозяйственной деятельностью ФосАгро и избирается общим собранием акционеров.

На годовом общем собрании акционеров, прошедшем в июне 2024 года, была избрана ревизионная комиссия в следующем составе:

  • член ревизионной комиссии Агабекян Лусине Франклиновна, заместитель начальника управления финансового контроллинга и корпоративной отчетности ПАО «ФосАгро»;
  • член ревизионной комиссии Викторова Екатерина Валерьяновна, заместитель директора казначейства ПАО «ФосАгро»;
  • председатель ревизионной комиссии Лизунова Ольга Юрьевна, начальник службы (функциональной в прочих областях деятельности), управление бюджетирования, дирекция по экономическим вопросам АО «Апатит».

Цели, задачи и полномочия ревизионной комиссии определены в Положении о ревизионной комиссии ПАО «ФосАгро», утвержденном общим собранием акционеров 12 мая 2011 года.

Комиссией осуществлена проверка финансовой отчетности ПАО «ФосАгро» за 2024 год, заключение от 4 марта 2025 года входит в состав материалов, предоставляемых акционерам в рамках подготовки к годовому общему собранию акционеров.

Исполнительные органы обеспечивают создание и поддержание функционирования эффективной СУРиВК. На уровне исполнительных органов создана комиссия по рискам, к функциям которой относится рассмотрение статуса управления рисками и эффективности мероприятий по управлению рисками. По итогам мониторинга управления рисками комиссия готовит предложения для исполнительных органов и совета директоров по вопросам управления рисками.

Дирекция по внутреннему аудиту предоставляет совету директоров и исполнительным органам отчеты и рекомендации по итогам аудитов (в том числе включающие информацию о результатах оценки фактического состояния, надежности и эффективности СУРиВК и корпоративного управления).

Дирекция по управлению рисками и внутреннему контролю осуществляет общую координацию процесса управления рисками, контроль за выполнением мероприятий по управлению рисками, а также подготовку сводной отчетности об управлении рисками для исполнительных органов и совета директоров.

Руководители иных структурных подразделений в соответствии со своими функциональными обязанностями несут ответственность за разработку, документирование, внедрение, мониторинг и развитие СУРиВК во вверенных им функциональных областях деятельности. Задачами сотрудников Компании в рамках СУРиВК являются участие в выявлении и оценке соответствующих рисков и эффективное исполнение контрольных процедур и мероприятий по управлению рисками.

Управление рисками

В 2024 году система управления рисками и внутреннего контроля ФосАгро функционировала эффективно благодаря своевременному выявлению и оценке рисков, а также разработке и реализации мер по управлению ими. Совет директоров ежеквартально рассматривал информацию об управлении ключевыми рисками Группы «ФосАгро». Руководство Компании уделяло значительное внимание управлению ключевыми рисками, комиссия по рискам осуществляла мониторинг рисков, регулярно отслеживала статус корректирующих мероприятий и при необходимости инициировала изменения с целью повышения эффективности управления ключевыми рисками.

Развитие СУРиВК в 2024 году

Компания продолжает последовательно развивать СУРиВК. Совет директоров в феврале 2025 года рассмотрел результаты оценки СУРиВК, которая подтвердила, что система управления рисками и внутреннего контроля Группы «ФосАгро» соответствует уровню ведущих компаний отрасли, в том числе:

  • СУРиВК отвечает применимым требованиям нормативных документов;
  • внедрено большинство передовых практик управления рисками, таких как взаимосвязь со стратегией развития Компании, риск‑аппетит, ключевые индикаторы рисков, элементы автоматизации и роботизации управления рисками, интеграция в систему мотивации и управления Компании.

В 2024 году выполнен полный цикл работы СУРиВК как на производственных площадках, так и на уровне Группы «ФосАгро» в целом:

  • осуществлялся постоянный мониторинг управления рисками;
  • анализировались ключевые показатели рисков;
  • разрабатывались необходимые корректирующие мероприятия;
  • осуществлялись последующий контроль и переоценка рисков.

В 2024 году была продолжена работа с рисками, связанными с отдельными направлениями деятельности Компании в условиях изменений в геополитической обстановке, в том числе обеспечением непрерывности процесса закупок, логистики, работы программного обеспечения и ИТ‑инфраструктуры. Кроме того, в 2024 году продолжена работа по развитию компетенций риск‑менеджмента у руководителей различного уровня, а также дальнейшее внедрение рискориентированного подхода на уровне отдельных функций и структурных подразделений.

Планы на 2025 год

Компания намерена поддерживать функционирование существующих элементов системы управления рисками и планирует их дальнейшее развитие с учетом лучшей практики, а также изменений во внутренней и внешней среде Группы «ФосАгро».

Внутренний аудит

Дирекция по внутреннему аудиту помогает органам управления ФосАгро повышать эффективность управления бизнес‑процессами и улучшать работу СУРиВК. Дирекция по внутреннему аудиту в своей деятельности придерживается рискориентированного подхода и тесно сотрудничает с подразделениями по управлению рисками и внутреннему контролю, экономической безопасности, а также с руководящими должностными лицами Компании.

Порядок проведения внутреннего аудита в Компании установлен руководством Дирекции по внутреннему аудиту.

Аудиторские проверки

Аудиты бизнес‑процессов

План аудитов на календарный год рассматривается, обсуждается и утверждается комитетом по аудиту и советом директоров. Аудиты проводятся как на уровне Группы, так и в отдельных подконтрольных компаниях и их обособленных подразделениях. Кроме того, Дирекция по внутреннему аудиту проводит мониторинг результативности и эффективности корректирующих действий со стороны руководящих должностных лиц Компании по результатам аудитов, ежеквартально отчитывается перед комитетом по аудиту и ежегодно — перед советом директоров.

В 2024 году Дирекция по внутреннему аудиту выполнила годовой план в полном объеме. Были проведены аудиты бизнес‑процессов Группы «ФосАгро» по направлениям управление логистикой, ремонтами, промышленной безопасностью и охраной труда. Также был проведен ИТ‑аудит и аудит работы с инсайдерской информацией. По результатам аудитов были даны предложения по повышению эффективности процедур и подходов к управлению логистикой и ремонтами, совершенствованию мероприятий, обеспечивающих промышленную безопасность и охрану труда. Менеджментом Компании были разработаны и утверждены планы корректирующих мероприятий, мониторинг выполнения которых осуществляется Дирекцией по внутреннему аудиту.

Планы на 2025 год включают аудит таких бизнес‑процессов, как управление развитием производственных мощностей, закупки ТМЦ, анализ эффективности ремонтной деятельности, также планируются аудиты ИТ и корпоративного управления.

Развитие команды

В целях достижения стратегических целей внутреннего аудита продолжается работа по развитию и диверсификации компетенций команды: проводятся регулярные мероприятия по обучению сотрудников, фокус которых направлен на получение данных из информационных систем и их дальнейшую обработку и визуализацию. В 2025 году запланированы обучения по этой тематике.

Самооценка и внешняя оценка

Для обеспечения качества внутреннего аудита регулярно проводятся внешние независимые оценки и самооценки.

Внешний аудит

Ключевым элементом работы комитета по аудиту совета директоров ФосАгро является регулярное взаимодействие с внешними аудиторами, а также выработка рекомендаций для совета директоров в части выбора и утверждения аудиторов. При выборе аудитора наряду со стоимостью услуги оцениваются следующие факторы:

  • персональный состав (опыт и квалификация) команды аудиторов, который должен обеспечивать осуществление аудита отчетности в приемлемые для Компании сроки и с надлежащим качеством;
  • независимость аудитора, установленная на основании широкого перечня факторов, в том числе через оценку объема неаудиторских услуг, оказываемых компанией‑претендентом в соответствующих периодах. Любое предложение от действующего аудитора по оказанию неаудиторской услуги требует подтверждения партнером по аудиту отсутствия риска для независимости, а также направляется в комитет по аудиту ПАО «ФосАгро» для рассмотрения и согласования. Комитет дает согласие на заключение договора только в том случае, если величина объема неаудиторских услуг не поставит под сомнение возможность независимого и беспристрастного оказания услуги аудита. Существенно влияет на оценку комитетом независимости аудитора также наличие у последнего внутренних процедур контроля объективности и профессиональной этики сотрудников, включая требование периодической ротации партнера по аудиту, проведение аудитором обучения в этой области и использование им специализированных программных средств для осуществления соответствующих проверок;
  • баланс между преимуществами многолетнего сотрудничества с аудитором и необходимостью свежего взгляда на финансовую отчетность Компании и процедуры ее подготовки;
  • эффективность работы аудитора в предшествующем периоде. Мнение о качестве работы внешнего аудитора комитет имеет возможность формировать при проведении очных заседаний комитета, обязательными участниками которых со стороны внешнего аудитора являются менеджер и партнер, а также на предшествующих заседаниям комитета встречах команды аудиторов с председателем комитета по аудиту.

Проверка финансово‑хозяйственной деятельности ПАО «ФосАгро» в соответствии с требованиями законодательства Российской Федерации осуществляется аудитором ПАО «ФосАгро» на основании заключаемого договора. Аудитор ПАО «ФосАгро» утверждается общим собранием акционеров. Аудит консолидированной финансовой отчетности ПАО «ФосАгро» за 2024 год по МСФО проведен акционерным обществом «Технологии Доверия — Аудит» (адрес компании: Москва, ул. Кржижановского, д. 14, к. 3, помещение 5/1).

Аудит финансовой отчетности ПАО «ФосАгро» за 2024 год по РСБУ проведен АО «Юникон» (адрес компании: Москва, Преображенская площадь, д. 8, БЦ «Прео 8»).

Подход к оценке независимости и эффективности процесса внешнего аудита, а также назначению или повторному назначению внешнего аудитора всесторонне описан в Политике ПАО «ФосАгро» о выборе внешних аудиторов и принципах формирования отношений с ними, утвержденной советом директоров ПАО «ФосАгро» 30 августа 2023 года.

Инсайдерская информация

В ПАО «ФосАгро» действует Положение об инсайдерской информации, разработанное с учетом законодательства Российской Федерации и Регламента Европейского союза о недопущении манипулирования рынком (Market Abuse Regulation, MAR).

В соответствии с нормами указанного Положения аппарат корпоративного секретаря ведет список инсайдеров, а также списки лиц, исполняющих управленческие обязанности (Persons Discharging Managerial Responsibilities, PDMR), и связанных с ними лиц (Persons Closely Associated, PCA). Для входящих в эти списки лиц Положением установлены обязанности, о которых их периодически уведомляет аппарат корпоративного секретаря.

В первую очередь это ограничения на использование инсайдерской информации и ограничения по осуществлению сделок с ценными бумагами ПАО «ФосАгро». В зависимости от категории инсайдеров для них могут быть установлены либо запрет, либо обязанности по уведомлению ФосАгро или получению ее согласия на совершение сделок. Ежеквартально аппарат корпоративного секретаря проверяет списки акционеров с целью выявления сделок, которые могли быть совершены с нарушением таких ограничений.

В 2024 году Дирекция по внутреннему аудиту провела проверку деятельности Компании в области работы с инсайдерской информацией. В ходе проверки установлено:

  • замечания и штрафы со стороны регуляторов отсутствуют;
  • Компания в полном объеме раскрывает существенные события;
  • в Компании действуют все необходимые регламенты по инсайдерской информации.

Информационная безопасность

GRI 3‑3

Политика информационной безопасности является основополагающим документом в сфере информационной безопасности и определяет общие намерения и принципы по ее обеспечению. Необходимость ее утверждения определяется наличием актуальных для организаций Группы рисков и угроз при осуществлении деятельности и, следовательно, необходимостью реагировать на угрозы и минимизировать риски.

Политика устанавливает высокий приоритет деятельности по обеспечению информационной безопасности и закладывает ее ключевые принципы. Они охватывают целеполагание и планирование процесса обеспечения информационной безопасности, особенности ее реализации, управление качеством работ и непрерывное совершенствование процесса. Все эти принципы определяют подход к содержанию следующих документов иерархии — Концепции информационной безопасности и внутренних нормативных документов, регламентирующих отдельные вопросы по предметной области. Такой набор документов отражает современные подходы и лучшую практику в области обеспечения информационной безопасности.

С периодичностью один раз в полгода вопросы информационной безопасности выносятся на рассмотрение совета директоров.

Результаты 2024 года

В 2024 году выполнены следующие мероприятия в области информационной безопасности:

  • зафиксировано около 3,6 млн событий, обеспечена защита от ~1,3 тыс. инцидентов информационной безопасности;
  • обеспечены мониторинг работоспособности и сопровождение 15 технических средств защиты;
  • повышена осведомленность сотрудников в области информационной безопасности;
  • совершенствовались процессы в соответствии с требованиями законодательства; выпущено 59 локальных нормативных актов и реализованы мероприятия по их исполнению;
  • совершенствовалась защита АСУТП: произведена замена импортных межсетевых экранов на отечественные; с персоналом, ответственным за эксплуатацию и сопровождение АСУТП проводятся практические тренировки;
  • улучшались процессы управления доступом к информационным ресурсам, осуществлен переход на единую систему управления правами доступа;
  • совершенствовались процессы управления событиями и инцидентами информационной безопасности, в операционном центре создана круглосуточная служба;
  • проводилась проверка защищенности информационных ресурсов Группы, реализуются планы по совершенствованию мер защиты;
  • выявлено и заблокировано 39 мошеннических ИТ‑ресурсов, связанных с выставлением поддельных коммерческих предложений от лица Группы.

GRI 410‑1

Все сотрудники Дирекции по экономической безопасности проходят обучение по курсам «Противодействие террористической деятельности», «Основные цели и принципы Кодекса этики компаний Группы «ФосАгро».

Сотрудники службы безопасности, прошедшие обучение в области прав человека, %

Взаимодействие с заинтересованными сторонами в области информационной безопасности

Обеспечение информационной безопасности — ответственность каждого сотрудника. Для этого в Группе продолжают проводиться регулярные мероприятия по повышению осведомленности сотрудников по вопросам информационной безопасности и отработки практических навыков противостояния современным угрозам.

В 2024 году тренировки по отработке реагирования на компьютерные инциденты проведены с производственным персоналом и персоналом АСУТП.

В 2024 году на корпоративной платформе обучения прошли курсы и тестирование свыше 13 тыс. работников. В корпоративных СМИ опубликованы 23 материала по различным аспектам информационной безопасности.

В обеспечении режима информационной безопасности участвуют контрагенты компаний Группы, с которыми осуществляется обмен данными в электронном виде, и чьи сотрудники имеют доступ к внутренним информационным ресурсам Группы. Для взаимодействия с внешними лицами разработаны и применяются отдельные технические регламенты, а в договорах закреплены порядок обработки персональных данных, конфиденциальной информации и меры за их нарушения.

Персонал контрагентов проходит обучение по линии информационной безопасности, вовлекается в тестирование и тренировки по обеспечению защищенности.

Сегодня обеспечение информационной безопасности выходит за рамки рабочего места. В Группе уделяется большое внимание созданию устойчивой социальной среды в городах присутствия. Свой вклад в это вносят мероприятия по работе с населением по линии обеспечения информационной безопасности и цифровой гигиены. На регулярной основе проводятся занятия и интерактивные мероприятия со школьниками разных возрастных групп и их родителями, лектории для представителей органов регионального управления, педагогов, общественных организаций, публикуются информационные материалы в корпоративных и региональных СМИ.

За счет перечисленных линий работы, а также за счет применения современных средств защиты информации и слаженной работы профильного подразделения в отчетном 2024 году, как и в предшествующие периоды, удалось избежать инцидентов в сфере информационной безопасности, которые могли бы привести к ощутимому материальному или репутационному ущербу.