Контрольная среда представляет собой взаимосвязанную систему внутреннего контроля, функцию внутреннего аудита, управления рисками и соблюдения требований законодательства, управления рисками в области ООС, управления дочерними компаниями и соответствующими элементами внешнего аудита с участием совета директоров, руководства и другого персонала компании. Она обеспечивает разумную уверенность в достижении целей, связанных с операционной деятельностью, отчетностью и соблюдением требований, и охватывает компанию и ее дочерние предприятия.
Отчетность должна соответствовать общепринятым стандартам раскрытия информации (таким как готовящиеся к выпуску Международные стандарты финансовой отчетности (МСФО) и Европейские стандарты отчетности в области устойчивого развития, а также Глобальная инициатива по отчетности) и демонстрировать эффективность раскрытия информации о внутреннем контроле, руководстве и управлении рисками, внутреннем аудите и соблюдении требований, связанных с устойчивым развитием компании. Матрица корпоративного управления МФК также содержит элементы, имеющие отношение к отчетности по контрольной среде.
Система внутреннего контроля
Комитет спонсорских организаций Комиссии Тредвея (COSO) определяет систему внутреннего контроля как процесс, осуществляемый советом директоров, руководством и другим персоналом организации и направленный на обеспечение разумной уверенности в достижении целей в следующих категориях:
- Эффективность и результативность операций
- Достоверность финансовой отчетности
- Соблюдение действующего законодательства и нормативных актов
Системы внутреннего контроля - это средства, с помощью которых:
- Операции осуществляются в соответствии с предписанными политиками и процедурами.
- Предприятие соблюдает действующее законодательство и нормативные акты.
- Активы и информация предприятия защищены от ненадлежащего использования.
Функция внутреннего аудита
Внутренний аудит - это функция, созданная для обеспечения независимой и объективной разумной уверенности совета директоров и руководства в том, что в компании создан адекватный внутренний контроль. В лучших практиках функция внутреннего аудита имеет свой устав и подчиняется непосредственно комитету по аудиту совета директоров. Внешний аудит позволяет получить достаточную уверенность в том, что финансовая отчетность подготовлена в соответствии с общепринятыми принципами бухгалтерского учета и что она отражает достоверное и справедливое представление о финансовом положении и результатах деятельности компании. Кроме того, внешний аудит должен включать письмо руководству, в котором указываются недостатки системы внутреннего контроля, выявленные в ходе аудита.
Управление рисками
Управление рисками - это система и структура выявления и управления текущими и возникающими рисками в масштабах всей компании, включая роль совета директоров в контроле за определением риск-аппетита компании и надзоре за системой и функциями управления рисками. В последнее время система управления рисками стала включать в себя контроль и мониторинг рисков, связанных с устойчивым развитием.
Комплаенс
Комплаенс - это функция, устанавливающая рамки соответствия, в рамках которых компании демонстрируют соблюдение конкретных требований законов, нормативных актов, договоров, стратегий, а также внутренних политик и процедур.
Управление дочерними компаниями
Управление дочерними компаниями очень важно, поскольку дочерние компании могут создавать финансовые, операционные и репутационные риски как для материнской компании, так и для других компаний группы. Ряд громких корпоративных скандалов произошел именно в дочерних компаниях. Эффективное управление дочерними компаниями становится особенно важным, когда некоторые дочерние компании группы имеют миноритарных инвесторов.
Адекватное раскрытие информации об управлении дочерними компаниями должно быть направлено на решение следующих задач:
- Способность материнской компании идентифицировать и контролировать все свои дочерние компании
- Наличие политики и процедур контроля за созданием и ликвидацией дочерних компаний
- Централизованная функция управления дочерними компаниями и распределение дочерних компаний по категориям в зависимости от их сложности, а также соответствующая система управления, применяемая к каждой категории
- Совет директоров материнской компании осуществляет надзор за организационной структурой и деятельностью дочерних компаний, соблюдая при этом баланс и уважая роли дочерней компании и ее директоров
-
Передовой международный опыт
Интегрированная система внутреннего контроля Комитета спонсорских организаций Комиссии Тредвея (COSO) от 2013 года помогает компаниям разрабатывать и внедрять систему внутреннего контроля, которая адаптируется к изменяющимся условиям ведения бизнеса и операционной деятельности, снижает риски до приемлемого уровня и поддерживает принятие обоснованных решений и управление.
Источник: Internal Control—Integrated Framework: An Implementation Guide for the Healthcare Provider Industry, page 5. Каждый из пяти компонентов содержит от трех до пяти принципов, всего 17 принципов. Они составляют основу системы и описывают способы реализации эффективного внутреннего контроля. Компания достигает эффективной системы внутреннего контроля, когда все принципы присутствуют и функционируют. Как показано на следующем рисунке, каждый принцип подразделяется на основные моменты, которые объясняют, как этот принцип работает на практике.
Source: Protiviti Global Business Consulting. -
Внутренний контроль над отчетностью в области устойчивого развития
В марте 2023 года COSO выпустило новаторское исследование, содержащее дополнительные рекомендации для компаний по обеспечению эффективного внутреннего контроля отчетности в области устойчивого развития с использованием всемирно признанной интегрированной системы внутреннего контроля COSO Internal Control-Integrated Framework. COSO считает, что ее использование будет способствовать укреплению доверия к отчетности в области экологического и социального управления (ESG) и устойчивого развития, публичному раскрытию информации и принятию корпоративных решений.
Используя значительные знания, полученные в ходе применения интегрированной системы внутреннего контроля COSO к финансовой отчетности за последние два десятилетия, " Достижение эффективного внутреннего контроля отчетности в области устойчивого развития (ICSR): создание доверия с помощью интегрированной системы внутреннего контроля COSO " вводит термин "внутренний контроль отчетности в области устойчивого развития" в лексикон внутреннего контроля.
Консультант Дуглас Хилеман обобщил три признака отчетности в области ESG, отличающие ее от финансовой отчетности: контроль в сравнении с влиянием, количественные показатели в сравнении с качественными, а также исторические показатели в сравнении с перспективными. Полную версию статьи читайте здесь
Системы внутреннего контроля
Опишите роли совета директоров, комитета по аудиту и высшего руководства в системе внутреннего контроля компании, включая следующие:
- Контроль финансового учета и отчетности;
- Контроль нефинансового учета и отчетности, включая контроль данных, относящихся к деятельности в области устойчивого развития;
- Контроль операционной деятельности, включая риски устойчивого развития и риски заинтересованных сторон;
- Контроль соблюдения нормативных требований, включая этику и комплаенс: этический кодекс, системы информирования о нарушениях, антикоррупционные меры.
Функция внутреннего аудита
Опишите, как совет директоров выполняет свои обязанности по обеспечению финансовой честности компании и добросовестности ее деятельности, в том числе:
- Отчетность внутреннего аудитора перед комитетом по аудиту и взаимоотношения с руководством;
- Основные направления деятельности, задачи и результаты внутреннего аудита;
- Как осуществляется функция внутреннего аудита, в том числе с привлечением сторонних организаций, если это уместно;
- Оценка политики и практики в области устойчивого развития, а также систем информационных технологий и безопасности.
- Как совет директоров обеспечивает принятие мер по устранению недостатков контроля, включая те, которые были отмечены в письме внешнего аудитора.
Международная положительная практика
Служба внутреннего аудита должна:
- Быть независимой, объективной, основанной на оценке рисков, иметь неограниченный круг полномочий и компетентный персонал;
- Подвергаться периодической оценке качества третьей стороной;
- Отчитываться непосредственно перед комитетом по аудиту и административно перед руководством.
Комитет по аудиту должен утверждать годовой план внутреннего аудита.
Комитет по аудиту
Опишите роль и порядок работы комитета по аудиту, включая надзор за следующим:
- Точная финансовая отчетность;
- Функции внутреннего и внешнего аудита;
- Операции со связанными сторонами;
- Качество информации об устойчивом развитии;
- Надзор и управление рисками (если комитет по рискам отсутствует).
Публикация
Директива Европейской комиссии о корпоративной отчетности в области устойчивого развития возлагает на комитеты по аудиту ряд задач по подготовке отчетности в области устойчивого развития и ее заверению.
Публикация Accountancy Europe's ESG Governance: Рекомендации для комитетов по аудиту " содержит обзор предполагаемых функций и обязанностей комитетов по аудиту с учетом соответствующего законодательства ЕС и требований заинтересованных сторон. В нем содержатся рекомендации для комитетов по аудиту в отношении их обязанностей в области ESG с акцентом на компетенцию и состав комитета по аудиту, а также на ответственность за отчетность и гарантии ESG.
Подробнее: Accountancy Europe's ESG Governance: Рекомендации для комитетов по аудиту, 2022 г.; Международная федерация бухгалтеров (IFAC): Key Questions for Audit Committees Overseeing Sustainability-Related Disclosure, 2023.
Внешний аудитор
Опишите следующее, что касается внешнего аудитора:
- Срок работы, квалификация и независимость, а также влияние длительного сотрудничества на независимость;
- Неаудиторская работа внешнего аудитора и ее влияние, если таковое имеется, на независимость аудита, а также разбивка вознаграждения за аудит и неаудиторскую деятельность;
- Периодическая оценка качества внешнего аудита;
- Корректирующие действия, предпринятые по вопросам, поднятым в письме руководства внешнего аудитора;
- Любые показатели качества аудита, используемые для мониторинга эффективности работы внешнего аудитора;
- Роль комитета по аудиту в надзоре за деятельностью внешнего аудитора и проверке независимости внешнего аудитора.
Аппетит к риску
Риск-аппетит - это совокупный уровень и тип риска, который компания готова принять для реализации своей стратегии. В вашем отчете должно быть рассмотрено следующее:
- Общий риск-аппетит, способность к риску и профиль риска компании;
- Как определяется риск-аппетит;
- Используемые количественные и качественные показатели;
- Максимально допустимый риск по каждому существенному риску;
- Утвердил ли совет директоров компании риск-аппетит.
Международная положительная практика
Включать как качественную, так и количественную информацию. Риск-аппетит должен распространяться на все бизнес-операции.
Интеграция рисков устойчивого развития, включая климатические риски, в управление рисками и отчетность по рискам.
В готовящихся к выпуску Международных стандартах финансовой отчетности (МСФО) "Стандарты раскрытия информации об устойчивом развитии" есть отдельный раздел, посвященный управлению рисками. "Цель раскрытия информации об управлении рисками в финансовой отчетности, связанной с устойчивым развитием, заключается в том, чтобы дать пользователям финансовой отчетности общего назначения возможность понять процесс или процессы, с помощью которых выявляются, оцениваются и управляются риски и возможности, связанные с устойчивым развитием. Такие раскрытия должны позволить пользователям оценить, интегрированы ли эти процессы в общие процессы управления рисками организации, а также оценить общий профиль рисков и процессы управления рисками организации" ("Проект" МСФО (IFRS) S1 "Общие требования к раскрытию финансовой информации, связанной с устойчивым развитием", стр. 28, п. 25).
В проекте европейских стандартов отчетности в области устойчивого развития ESRS 2: General Disclosures от ноября 2022 г. этот компонент назван Impact, Risk, and Opportunity Management, поскольку европейские стандарты раскрытия информации фокусируются на двойной существенности, включая как финансовую существенность, так и существенность воздействия. Этот компонент включает раскрытие информации о процессе оценки существенности, отчетность о возможностях, а также содержание раскрытия информации о политике и действиях по управлению существенными вопросами устойчивого развития.
Оценка рисков и управление рисками
Описать методологию выявления, мониторинга и контроля рисков, включая определение мер реагирования на рисковые события. Укажите, как компания оценивает эффективность контроля над рисками, чтобы определить, находится ли уровень риска в пределах риск-аппетита компании.
Интеграция устойчивого развития
Укажите, каким образом риски, связанные с устойчивым развитием, были интегрированы в систему управления рисками, в том числе как климатические риски учитываются на всех уровнях компании.
Надзор за рисками
Опишите ответственность совета директоров за надзор и контроль над управлением рисками либо через официальный комитет по управлению рисками, либо через комитет по аудиту.
Модель "трех линий " Института внутренних аудиторов - это международный стандарт управления рисками, в котором особое внимание уделяется взаимоотношениям между людьми, вовлеченными в управление рисками, для обеспечения эффективности управления рисками и системы контроля, а также подотчетности за надзор за ними.
Опишите роль соблюдения нормативных требований в управлении рисками и возможностями, связанными с устойчивым развитием и климатом, следующими способами:
- Указывать экологические и социальные законы, нормативные акты, отраслевые или корпоративные политики и обязательства, которым компания должна соответствовать;
- Отчетность о том, как компания обеспечивает соблюдение этих законов, нормативных актов, политик и обязательств;
- Соблюдение внутренних кодексов поведения или этических норм, в том числе в цепочке поставок;
- Соблюдение правил и норм, связанных с экологическими и социальными вопросами, включая загрязнение окружающей среды, коррупцию и взяточничество, а также обращение с работниками;
- Программа обеспечения соответствия цепочке поставок, которая позволяет улучшить контроль и видимость цепочки поставок и имеет решающее значение для раскрытия информации о выбросах в 3-й области.
Приведите организационную схему компании, включая ее дочерние предприятия и степень контроля, а также информацию о юрисдикции, направлении деятельности, активах и выручке дочерних предприятий.
Включить описание системы управления дочерними компаниями как части контрольной среды, охватывающей следующее:
- Создание и ликвидация юридических лиц;
- Структура и состав советов директоров дочерних компаний;
- Классификация дочерних компаний по стратегической важности и сложности;
- Надзор за дочерними компаниями на уровне совета директоров;
- Применение процессов аудита и внутреннего контроля материнской компании к дочерней компании;
- Процедуры эскалации для сделок, требующих одобрения материнской компании.
Международная положительная практика
Материнская компания должна использовать свою функцию внутреннего аудита для оценки надежности и соответствия практики управления дочерних компаний.
Совет директоров должен следить за тем, чтобы раскрытие финансовой и нефинансовой информации компании было актуальным, достоверным и своевременным отражением существенных событий для акционеров и других заинтересованных сторон. Интегрированное раскрытие и прозрачность информации, включая информацию ESG, имеет решающее значение для внутреннего управления и руководства компанией. Заинтересованные стороны, инвесторы и регулирующие органы все чаще требуют такого раскрытия и прозрачности.
Раскрытие информации о дивидендах
Согласно принятой практике, компании должны раскрывать свою дивидендную политику в рамках годового отчета. Дивидендная политика обычно устанавливает процент прибыли, который будет распределен между акционерами пропорционально их долям. Компании, находящиеся в режиме роста, часто предпочитают не распределять дивиденды, в то время как более стабильные и устоявшиеся компании используют дивиденды в качестве одной из особенностей для привлечения инвесторов, ориентированных на получение дохода.
Раскрытие налоговой информации
В соответствии с принятой практикой компании должны раскрывать информацию о налоговой прозрачности, которая, как правило, содержит описание стратегии и политики компании в отношении корпоративных налогов, а также фактическую сумму налогов, уплаченных в различных юрисдикциях и сегментах, где она осуществляет свою деятельность.
Соответствие деятельности компании, связанной с лоббированием, ее публично заявленным целям и стратегии является одним из основных компонентов согласования долгосрочных целей, что необходимо для создания долгосрочной стоимости. Мониторинг этой согласованности крайне важен для обеспечения общей прозрачности и достижения целей компании.
Глобальная инициатива по отчетности и Европейские стандарты отчетности в области устойчивого развития содержат метрики для лоббирования, финансовых и натуральных политических взносов.