Корпоративная система управления рисками, внутреннего контроля и аудита позволяет Компании принимать взвешенные рискориентированные решения, нацеленные на предотвращение реализации рисков и устранение негативных последствий в случае их наступления.

Для обеспечения эффективности системы внутреннего контроля и управления рисками в Компании созданы Комитет по аудиту при Совете директоров, служба внутреннего контроля и управления рисками и служба внутреннего аудита.

Система внутреннего контроля и управления рисками в Компании построена на основе модели «трех линий защиты».
Менеджмент ответственность за внутренний контроль и управление рисками бизнес‑процессов
Служба внутреннего контроля и управления рисками мониторинг и поддержка менеджмента в организации эффективной системы внутреннего контроля и управления рисками
Служба внутреннего аудита независимая оценка системы внутреннего контроля и управления рисками

Управление рисками
и внутренний контроль

Для обеспечения функционирования системы управления рисками в Компании создана служба внутреннего контроля и управления рисками, действующая на основании Политики по управлению рисками и Политики по внутреннему контролю. Руководитель службы функционально и административно подчиняется непосредственно Генеральному директору. Комитет по аудиту осуществляет контроль за эффективностью управления рисками и внутреннего контроля.

Служба внутреннего контроля и управления рисками выполняет следующие основные функции:

  • организация и координация процесса управления рисками и внутреннего контроля;
  • идентификация и мониторинг рисков и индикаторов рисков, создание и поддержание актуальной карты рисков;
  • оценка рисков и выработка предложений по управлению ими совместно с владельцами бизнес‑процессов;
  • анализ бизнес‑процессов и выработка требований по дизайну контрольных процедур, направленных на минимизацию рисков.
Определение уровня принятия решений и приоритетов в управлении рисками происходит по результатам их ранжирования.

При ранжировании используются два основных фактора оценки риска.

Вероятность наступления риска

Существенность последствий реализации риска

Основные принципы системы управления рисками


Непрерывность процесса
Заключается в реализации на регулярной основе комплекса упорядоченных процедур управления рисками. Система управления рисками предполагает постоянный процесс обновления и изменения всех ее элементов.

Обоснованность
Система управления рисками предусматривает анализ отношения затрат на снижение вероятности наступления риска к потенциальному ущербу от его реализации.

Информированность
Используется единый канал информирования менеджмента Компании по всему спектру рисков для обеспечения полноты, качества и сопоставимости предоставляемой информации для каждого из уровней принятия решения.

Открытость
Управление рисками предполагает открытое обсуждение как внутри Компании, так и с ключевыми стейкхолдерами.


Ключевые риски и меры по управлению ими

Для минимизации возможных рисков и снижения их возможного негативного влияния Компания проводит комплексную работу по управлению ими.

Представленный ниже перечень рисков отражает оценки менеджмента на момент подготовки данного Годового отчета, которые могут со временем меняться. Возникновение новых рисков, о которых менеджменту в настоящий момент неизвестно, или реализация рисков, которые менеджмент в текущий момент считает несущественными, могут также повлиять на бизнес в будущем.

РИСК МЕРЫ ДЛЯ СНИЖЕНИЯ ВОЗМОЖНОГО НЕГАТИВНОГО ВЛИЯНИЯ
РИСКИ ВНЕШНЕЙ СРЕДЫ

Экономическая и социальная нестабильность
Экономическая и социальная нестабильность, вызванная влиянием геополитической напряженности, замедлением экономического роста в России и в мире и последствиями пандемии COVID‑19, может оказать негативное влияние на достижение стратегических целей Компании. Отрицательное влияние данных факторов на финансовое состояние клиентов может привести к снижению доходов Компании. Нарушения цепочек поставок вследствие существенных санкций и экспортного контроля или экономических ограничений, установленных в отношении России, способны негативно отразиться на показателях эффективности бизнеса

  • Регулярный мониторинг экономической и социальной ситуации, анализ рынков
  • Оперативное операционное реагирование на изменение условий внешней среды
  • Адаптация стратегии развития бизнеса к изменяющимся условиям внешней среды
  • Развитие продаж и инвестиции в увеличение доли Компании на российском рынке информационной безопасности после ухода западных вендоров
  • Разработка продуктов для нужд импортозамещения

Санкционные риски В 2021 году одна из компаний Группы была включена в «Список SDN».
Введение новых санкций (экономических ограничений в отношении компаний Группы и крупных акционеров, а также вторичных санкций в отношении контрагентов за предоставление товаров или услуг) может негативно повлиять на развитие бизнеса и на достижение стратегических целей Компании

  • Регулярный мониторинг экономических ограничений в отношении Российской Федерации и компаний технологического сектора для минимизации негативных эффектов
  • Диверсификация портфеля поставщиков товаров и услуг

Риск неблагоприятного изменения нормативно‑правовой среды (законодательство, требования регуляторов)

  • Регулярный мониторинг изменений в законодательстве
  • Регулярный анализ соответствия Компании актуальным требованиям
  • Взаимодействие с государственными органами и участие в отраслевых рабочих группах и ассоциациях
СТРАТЕГИЧЕСКИЕ РИСКИ

Растущая конкуренция, появление новых игроков на рынке кибербезопасности

  • Мониторинг рынка
  • Разработка и создание уникальных инновационных продуктов
  • Улучшение коммерческих условий
  • Инвестирование в цены (эффективное ценообразование, оптимизация расходов)
  • Улучшение клиентского опыта

Снижение спроса на продукты и услуги Компании из‑за сокращения бюджетов заказчиков

  • Мониторинг рынка
  • Инвестирование в цены (эффективное ценообразование, оптимизация расходов)
ОПЕРАЦИОННЫЕ РИСКИ

Дефицит квалифицированных кадров, отток ИТ‑специалистов

  • Предоставление комфортных условий труда и конкурентного уровня заработной платы, льготы для сотрудников ИТ‑компаний
  • Мониторинг рынка труда и продвижение Компании
  • Оптимальное развитие ключевых
    • сотрудников
  • Создание резерва для критических ролей

Прекращение сотрудничества с ключевыми поставщиками программного обеспечения и ИТ‑оборудования и дистрибьюторами в связи с объявленными санкциями против России

  • Диверсификация поставщиков программного обеспечения и ИТ‑оборудования
  • Выстраивание новых логистических цепочек
ФИНАНСОВЫЕ РИСКИ

Валютный риск (риск ухудшения финансовых результатов из‑за неблагоприятного изменения курса валют)

  • Заключение долгосрочных расходных договоров с фиксацией цен
  • Заключение доходных договоров в национальной валюте

Кредитный риск (риск изменения процентных ставок по кредитам и займам, рост долговой нагрузки)

  • Использование долговых инструментов с фиксированной процентной ставкой
  • Проведение мероприятий по рефинансированию и реструктуризации кредитного портфеля
  • Контроль уровня долговой нагрузки

Компания непрерывно совершенствует систему управления рисками и внутреннего контроля. В течение 2023 года:

  • усилены компетенции службы внутреннего контроля и управления рисками;
  • разработана методология управления рисками с фокусом на недопустимых событиях;
  • начат процесс оценки рисков по новой методологии;
  • запущен пилотный аналитический отчет по статусу управления рисками.

Планы Компании на 2024 год включают:

  • развитие системы оперативной отчетности по рискам с использованием инструментов анализа данных;
  • совершенствование методологии оценки рисков;
  • развитие профессиональных компетенций в области управления рисками, получение профессиональных сертификаций.

Внутренний аудит

В Компании действует служба внутреннего аудита — самостоятельное структурное подразделение, функции которого определены Положением о внутреннем аудите. Руководитель службы внутреннего аудита функционально подчиняется председателю Комитета по аудиту Совета директоров, административно — непосредственно Генеральному директору.

Положение о внутреннем аудите

Комитет по аудиту рассматривает и утверждает политики в области внутреннего аудита и план внутреннего аудита, совместно с руководителем службы внутреннего аудита рассматривает и утверждает ресурсы и бюджет внутреннего аудита, дает оценку эффективности деятельности внутреннего аудита.

Служба внутреннего аудита выполняет следующие функции:

  • оценка эффективности системы внутреннего контроля, процессов управления рисками и корпоративного управления;
  • разработка рекомендаций по совершенствованию процедур внутреннего контроля, управления рисками и корпоративного управления и содействие менеджменту в разработке корректирующих мероприятий по результатам проведенных аудитов;
  • мониторинг выполнения рекомендаций по устранению нарушений и недостатков, выявленных по результатам аудитов;
  • оказание консультационных услуг.

В своей деятельности служба внутреннего аудита применяет рискориентированный подход.

В течение 2023 года служба внутреннего аудита осуществляла свою деятельность в соответствии с утвержденным планом работы внутреннего аудита. В течение 2023 года совместно со службой управления рисками и внутреннего контроля была проведена переоценка ключевых рисков. На Комитете по аудиту была рассмотрена и утверждена Советом директоров новая версия Положения о внутреннем аудите с учетом лучших практик.

В 2024 году деятельность службы внутреннего аудита будет осуществляться в соответствии со стратегией развития Компании и с учетом необходимости адаптации к динамичным условиям ведения бизнеса по причине нестабильности геополитической и экономической ситуации в мире. Также служба внутреннего аудита планирует дальнейшее совершенствование методологии, внедрение новых подходов и практик, повышение профессиональных компетенций команды внутреннего аудита.

Внешний аудит

Согласно Уставу, для проверки и подтверждения годовой финансовой отчетности Компании Общее собрание акционеров ежегодно утверждает аудитора, не связанного имущественными интересами с Компанией или ее акционерами.

Назначение внешнего аудитора Компании, его переизбрание и отстранение относится к компетенции Комитета по аудиту Совета директоров. Комитет рассматривает кандидатов на эту должность; оценивает их независимость и объективность; определяет размер вознаграждения внешнего аудитора; следит за соблюдением внешним аудитором принципов оказания и совмещения услуг по аудиту и сопутствующих услуг в области ведения и подготовки бухгалтерской (финансовой) отчетности.

Внешним аудитором консолидированной финансовой отчетности Компании за 2023 год было выбрано АО «Юникон» (ОГРН 1037739271701, юридический адрес: 117587, г. Москва, Варшавское ш., 125, стр. 1, секция 11, 3 эт., пом. I, ком. 50).

Противодействие коррупции

В Компании организован почтовый ящик и круглосуточный телефон доверия, предназначенные для приема анонимных сообщений о правонарушениях. Поступающие сообщения обрабатываются по формализованному протоколу. В службе безопасности Компании образована рабочая группа для проведения служебных проверок на основании получаемой информации.

Также Компания на регулярной основе проводит мероприятия по повышению бдительности сотрудников в целях борьбы со злоупотреблениями и коррупционными проявлениями. В ближайшие планы входит организация регулярного обучения ведущих сотрудников Компании актуальным законодательным нормам и лучшим практикам в области противодействия коррупции.

Управление конфликтом интересов

В Компании разработаны меры, которые направлены на предупреждение ситуаций, связанных с возможным конфликтом интересов членов Совета директоров и исполнительных органов Компании. Правила управления конфликтом интересов в Компании закреплены в Уставе и Положении о Совете директоров.

В частности, данные документы предусматривают следующие меры:

  • при наступлении обстоятельств, в силу которых Генеральный директор и члены Совета директоров могут быть признаны заинтересованными в совершении Компанией сделок, они обязаны доводить до сведения Компании информацию о таких сделках (совершенных или предполагаемых); они также обязаны передавать Компании сведения о подконтрольных организациях и юридических лицах, в органах управления которых они или их близкие родственники занимают должности;
  • члены Совета директоров обязаны воздерживаться от действий, которые приведут или могут привести к возникновению конфликта между их интересами и интересами Компании и (или) ее кредиторов;
  • независимые директора (у которых отсутствует конфликт интересов) предварительно оценивают существенные корпоративные действия, связанные с возможным конфликтом интересов, а результаты такой оценки предоставляются Совету директоров.

За отчетный год Компанией не выявлено случаев возникновения конфликта интересов у членов Совета директоров и исполнительных органов Компании. Соответствующие сделки в конкретных случаях были надлежащим образом одобрены ответственными органами управления Компании и ее дочерних обществ.

Контроль инсайдерской информации

Компания уделяет особое внимание мерам, направленным на противодействие неправомерному использованию инсайдерской информации и манипулированию рынком. Деятельность Компании в этой сфере регулируется Федеральным законом от 27 июля 2010 года № 224‑ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации».

В Компании внедрен и планомерно совершенствуется внутренний контроль в области инсайдерской информации.

  • В декабре 2021 года были утверждены Правила внутреннего контроля ПАО «Группа Позитив» по предотвращению, выявлению и пресечению неправомерного использования инсайдерской информации и манипулирования рынком и назначено ответственное за контроль должностное лицо. В Правилах внутреннего контроля закреплены условия совершения операций с финансовыми инструментами Компании.
  • В сентябре 2022 года Правила внутреннего контроля были пересмотрены и доработаны, в связи с чем по решению Совета директоров была утверждена редакция № 2 Правил внутреннего контроля.
  • В марте 2023 года Правила внутреннего контроля были вновь пересмотрены и доработаны, в связи с чем по решению Совета директоров была утверждена редакция № 3 Правил внутреннего контроля, а также лицом, ответственным за контроль, назначен Корпоративный секретарь Компании Утверждены решением Совета директоров 3 марта 2023 года (протокол от 6 марта 2023 года № 19)..

Компания обеспечивает непрерывность внутреннего контроля и деятельности ответственного за контроль должностного лица, в том числе:

  • Компанией утвержден перечень инсайдерской информации. Мы раскрываем инсайдерскую информацию в порядке и в сроки, установленные действующим законодательством и Банком России с учетом постановлений Правительства Российской Федерации от 28 сентября 2023 года № 1587 и от 4 июля 2023 года № 1102, позволяющих раскрывать информацию в ограниченном объеме;
  • мы определили список инсайдеров Компании, имеющих доступ к инсайдерской информации, и следим за его актуальностью. Список инсайдеров Компании актуализируется в порядке и в сроки, установленные действующим законодательством и Банком России. Уведомление инсайдеров Компании о включении в список или исключении из списка инсайдеров проводится в установленные сроки и в установленном порядке. Список инсайдеров Компании предоставляется по запросам биржи в установленные сроки и в установленном порядке;
  • в рамках установления ограничений для совершения операций с финансовыми инструментами Компании инсайдерами и связанными с ними лицами в Компании устанавливаются «закрытые периоды», в течение которых инсайдеры Компании и связанные с ними лица должны воздерживаться от совершения любых операций с финансовыми инструментами Компании;
  • Компания регулярно знакомит своих инсайдеров с внутренними документами, нормативными актами и изменениями законодательства в области противодействия неправомерному использованию инсайдерской информации и манипулированию рынком. Мы соблюдаем порядок и сроки ознакомления членов органов управления и должностных лиц с внутренними документами Компании в области противодействия неправомерному использованию инсайдерской информации и манипулированию рынком.

За отчетный год Компанией не выявлено нарушений правил внутреннего контроля или иных внутренних документов в сфере противодействия неправомерному использованию инсайдерской информации и манипулированию рынком.

Правила внутреннего контроля по предотвращению, выявлению и пресечению неправомерного использования инсайдерской информации и (или) манипулирования рынком