Годовой отчет / 2024
Энергия развития

pdf Қаз Рус Eng
Cover 1

05

Корпоративное управление

Структура управления АО «KEGOC» Соблюдение Кодекса корпоративного управления Общее собрание акционеров Дивидендная политика Отчет о деятельности Совета директоров Конфликт интересов Правление Корпоративная этика Противодействие коррупции Механизмы обратной связи Система управления рисками и внутреннего контроля Служба внутреннего аудита Информационная политика и безопасность

Система управления рисками и внутреннего контроля

В АО «KEGOC» успешно внедрена и функционирует система управления рисками, которая сформирована на основе общепринятых концептуальных моделей управления рисками, разработанных Комитетом спонсорских организаций Комиссии Тредвея — COSO ERM «Управление рисками организации. Интегрированная модель» и требований АО «­Самрук-Қазына».

Корпоративная система управления рисками является ключевым компонентом системы корпоративного управления, направленным на своевременную идентификацию рисков, их оценку и выработку мер по управлению рисками, которые могут негативно повлиять на достижение стратегических и операционных целей АО «KEGOC».

Целью, действующей КСУР является обеспечение непрерывности и стабильности деятельности путем ограничения степени воздействия внутренних и внешних негативных факторов на деятельность АО «KEGOC».

Основными принципами системы управления рисками являются:

  • вовлеченность руководства Компании в управление рисками;
  • постоянное совершенствование системы управления рисками;
  • непрерывность обучения и обмена знаниями в сфере управления рисками сотрудниками Компании;
  • открытость и честность при предоставлении отчетности и эскалации рисков.

Задачей системы управления рисками являются:

  • разработка и применение единообразных и последовательных подходов к выявлению, оценке и управлению рисками АО «KEGOC», упрощение процедур обмена информацией о рисках по вертикали (управление) и по горизонтали (обмен опытом);
  • оперативное реагирование на возникающие рисковые события, отслеживание изменений внешней и внутренней среды;
  • организация целенаправленной деятельности по управлению рисками с целью снижения их до приемлемого уровня либо передачи третьим сторонам (аутсорсинг, страхование, хеджирование) либо уклонение от риска;
  • систематизация и дальнейшее накопление информации о рисках АО «KEGOC», повышение управляемости АО «KEGOC»;
  • повышение конкурентоспособности АО «KEGOC» и достижение поставленных стратегических целей АО «KEGOC» посредством повышения эффективности КСУР.

КСУР служит инструментом, поддерживающим процесс принятия управленческих решений и ежедневную операционную деятельность АО «KEGOC».

Процесс управления рисками в АО «KEGOC» является постоянным, циклическим (непрерывным), разнонаправленным и состоит из следующих компонентов:

  • Внутренняя среда;
  • Постановка целей;
  • Выявление рисков;
  • Оценка рисков;
  • Управление рисками;
  • Контроль;
  • Информация и коммуникация;
  • Мониторинг.

Процесс управления рисками АО «KEGOC»

Реализация вышеуказанных компонентов процесса управления рисками способствует развитию культуры управления рисками (риск-культура), которая является основой риск-менеджмента, это убеждения, понимание и знания в области управления рисками, разделяемые и применяемые всеми должностными лицами и работниками при выполнении своих обязанностей.

Риск-культура является частью корпоративной культуры. Уровень риск-культуры определяет то, каким образом риски выявляются, оцениваются и управляются с момента разработки Плана развития до ее реализации и мониторинга эффективности.

Риск-культура основана на следующих принципах:

  • Тон на высшем уровне: При принятии решений исходят из оптимального баланса между долгосрочной стоимостью, прибыльностью и рисками, связанными как с принятием, так и не принятием решений, руководство поощряет у подчиненных риск-ориентированное поведение.
  • Корпоративное управление: Деятельность АО «KEGOC» направлена на создание такой контрольной среды, которая обеспечивает понимание работниками того, что Политика и все ВНД являются обязательными для соблюдения. Все должностные лица и работники АО «KEGOC» четко осознают свою зону ответственности и полномочия по управлению рисками и внутреннему контролю. Владельцы рисков в рамках своей компетенции понимают риски, управляют ими и должным образом информируют о рисках в соответствии с ВНД АО «KEGOC».
  • Принятие решений: Внутренняя среда характеризуется открытостью коммуникаций и прозрачностью информации о рисках, это способствует открытому и конструктивному обсуждению сопутствующих рисков и потенциальных возможностей между работниками и руководством, позволяет совместно принимать эффективные решения в ответ на внешние вызовы.
  • Система вознаграждения на всех уровнях использует финансовые и не финансовые стимулы для руководства и работников в формировании у них правильного отношения к риску в процессе принятия управленческих решений. При развитой риск-культуре принимаемые решения четко определены Риск-аппетитом.
  • Компетенция: Организационная структура АО «KEGOC» базируется на модели «трех линий защиты». Риск-подразделение эффективно выполняет роль второй линии защиты, тем самым повышая уверенность Руководства в достижении целей АО «KEGOC».

Одним из источников информации об уровне риск-культуры для Правления и Совета директоров являются документы по оценке эффективности КСУР, отчеты по диагностике корпоративного управления в Компании.

В целях повышения риск-культуры в Компании проводится инструктаж/семинар для вновь принятых работников в области КСУР Компании, а высшее руководство Компании принимает участие в специализированных семинарах и тренингах по управлению рисками, ориентированных на руководителей высшего звена.

Для контроля уровня развития риск-культуры в Компании в 2024 году проведено анкетирование (опрос) работников/тестирование знании в области КСУР для оценки эффективности использования риск-менеджмента на рабочем месте. Кроме того, проведено тестирование работников АО «KEGOC» на знание систем управления рисками и внутреннего контроля, которое успешно прошли все тестируемые.

Организационная структура КСУР

Функции и ответственность участников КСУР:

  • Совет директоров несет ответственность за эффективное функционирование и развитие КСУР в целом, задает тон в части управления рисками, а также отвечает за реализацию механизмов, обеспечивающих отражение заданного тона по всей Компании и ДО и утверждает основные документы КСУР;
  • Комитет по аудиту действует в интересах акционера(ов) и его работа направлена на оказание содействия Совету директоров путем выработки рекомендаций по контролю за надежностью и эффективностью КСУР. Документы, выносимые на утверждение Советом директоров, предварительно рассматриваются Комитетом по аудиту Совета директоров.

СВА несет ответственность за регулярное проведение аудита КСУР и предоставление независимого заключения Совету директоров/ Комитету по аудиту:

  • аудит и анализ эффективности процедур управления рисками и методологии в области КСУР, а также подготовка предложений по повышению эффективности процедур по управлению рисками;
  • представляет Отчет об эффективности КСУР Совету директоров;
  • предоставляет информацию в структурное подразделение, ответственное за управление рисками о реализовавшихся рисках, выявленных при проведении аудиторских проверок;
  • выполняет иные функции в соответствии с утвержденными нормативными документами АО «KEGOC».

Правление несет ответственность за создание, поддержание и применение процедур выявления, оценки и управления рисками, организацию эффективного функционирования КСУР, оказание поддержки структурным подразделениям при внедрении/совершенствовании процессов управления рисками в их деятельности, наличие у работников структурного подразделения, ответственное за управление рисками профессиональных квалификаций.

Структурные подразделения, филиалы АО «KEGOC» и ДО являются собственниками рисков и несут ответственность за выявление, анализ, оценку рисков, управление рисками, подготовку предложений по снижению уровня ключевых рисков, формирование отчетности по ключевым рискам АО «KEGOC» и своевременное информирование о реализовавшихся рисках.

Служба комплаенс отвечает за разработку и внедрение программы комплаенс, направленной на управление рисками нарушения Кодекса поведения, законодательства по вопросам противодействия коррупции и иных применимых к АО «KEGOC» регуляторных требований.

Комитет по рискам, задачей которого является принятие решений по вопросам управления рисками АО «KEGOC», а также подготовка рекомендаций Правлению АО «KEGOC» по вопросам управления рисками Компании. В 2024 году Комитетом проведено 8 заседаний.

Структурное подразделение, ответственное за управление рисками, за развитие КСУР, разъяснение внутренних и внешних требований, оказание консультационной помощи, разрабатывает ВНД по КСУР, мониторинг исполнения мероприятий по управлению рисками и подготовку ежеквартальной отчетности по рискам для Комитета по рискам, Правления и Совета директоров.

Совет директоров и Правление при выполнении своих функций опираются на модель «Три линии защиты», которая взаимодействует в рамках КСУР.

Первая линия защиты представлена структурными подразделениями в лице каждого работника в рамках своей компетенции.

Вторая линия защиты представлена структурными подразделениями, осуществляющими мониторинговые функции.

Третья линия защиты представлена Службой внутреннего аудита, которая проводит независимую оценку эффективности и содействует совершенствованию управления рисками и внутреннего контроля, оказывает поддержку Комитету по аудиту и Совету директоров предоставляет им независимую оценку эффективности КСУР и внутреннего контроля.

На регулярной основе проводится анализ существующих рисков и выявление новых рисков, которые могут негативно повлиять на достижение целей, задач, показателей и выполнение мероприятий Плана развития (Стратегии) АО «KEGOC», Плана мероприятий (Бизнес плана) АО «KEGOC».

При идентификации рисков применяются следующие методы:

  • анализ бизнес-процессов;
  • сбор и анализ статистических данных;
  • индивидуальные экспертные методы (анкетирование, интервью);
  • групповые методы (мозговой штурм, деловая игра);
  • мониторинг публикаций и выступлений.

Также риски могут быть выявлены при рассмотрении вопросов, выносимых на заседания Правления, Совета директоров, при изменениях во внешней среде, при изменении в АО «KEGOC» процессов, процедур, организационной структуры и т.д.

Риски идентифицируются на основе существующих целей (КПД) членов Правления, управленческих работников, руководителей структурных подразделений текущего года, которые сформированы на основе стратегических целей АО «KEGOC».

В процессе инвентаризации рисков параллельно проводится и оценка рисков с определением подходов к управлению данными рисками.

В рамках проведения оценки рисков оцениваются следующие параметры риска:

  • влияние (размер) риска;
  • вероятность реализации (частота) риска;
  • время влияния.

При оценке рисков используется качественный или количественный анализы, или их комбинация.

Оценка вероятности реализации риска, влияния, время влияния проводится согласно установленным в АО «KEGOC» критериям оценки рисков. Результаты процесса оценки рисков наносятся на Карту рисков, в которой наглядно отражена относительная значимость каждого риска. Риски ранжируются на низкие, средние, крупные и критические.

По всем выявленным рискам разрабатываются предупредительные и реактивные мероприятия, которые утверждаются Советом директоров. Мероприятия по управлению ключевыми рисками направлены на предотвращение рисков и/или на минимизацию последствий в случае реализации рисков.

Все выявленные риски с учетом их оценки и мероприятий утверждаются Советом директоров.

Результаты идентификации и оценки рисков сведены в Реестр рисков Компании на 2024 год, в который вошли 49 рисков. По каждому риску разработаны мероприятия по их управлению, определены владельцы рисков. Проводится постоянный мониторинг за динамикой ключевых рисков и выполнением мероприятий по их митигированию путем направления ежеквартальной отчетности по рискам Правлению и Совету директоров Компании.

Классификация рисков АО «KEGOC»

Карта рисков АО «KEGOC»

Наиболее важные и актуальные риски АО «KEGOC» для отчетного года:

  • риск возникновения несчастного случая, связанного с трудовой деятельностью;
  • отказ производственных активов;
  • снижение стоимости акции Компании ниже цены размещения на SPO;
  • риск роста просроченной дебиторской задолженности за оказанные системные услуги.

Более подробная информация по управлению ключевыми рисками раскрыта в соответствующих разделах данного отчета по направлениям деятельности и реализации стратегических целей Компании.

Дополнительно к основным рискам Компания рассмотрела возникающие риски, которые находятся на этапе идентификации и/или могут значительно возрасти в будущем, и способны оказать существенное влияние на деятельность Компании и потенциально окажут долгосрочное (3-5 лет) существенное влияние на ее деятельность. В настоящее время к возникающим рискам можно отнести: климатические изменения; кибер-риски, глобальные пандемии, влияющие на международную торговлю или глобальные перебои поставок, а также геополитические риски.

Основные мотивационные КПД

Возникающий риск 1 Возникающий риск 2
Подтверждающие доказательства Согласно Климатической программе АО «KEGOC» проведен анализ климатических рисков с использованием климатических сценариев и моделей, что подтвердило высокую уязвимость инфраструктуры компании к экстремальным погодным явлениям. ИТ становятся ключевыми факторами в достижении целей Компании и реализации ее стратегии. С развитием технологий и повсеместным использованием интернета, появляются новые риски ИБ.

Растет число и сложность атак, воздействующих на все виды цифровых устройств, участились случаи нападения на ИТ-инфраструктуру крупных корпораций и важные промышленные объекты.
Название возникающего риска Климатический риск (переходный и физический) Риски информационной безопасности
Категория Операционный риск Операционный риск
Описание Изменение климата может вызывать повышение температуры, увеличение числа засух и наводнений, ураганы, что влияет на надежность объектов НЭС, снижает эффективность передачи энергии, увеличивает расходы на ремонт и модернизацию сетей. Риск, связанный с нарушением работы цифровых систем, утечкой конфиденциальной информации, взломами SCADA-систем и IT-инфраструктуры. Учитывая масштаб и значимость АО «KEGOC» в управлении ЕЭС, атаки на информационные ресурсы могут повлечь перебои в диспетчерском управлении и передаче электроэнергии.
Влияние Потенциальные перебои в передаче электроэнергии, повреждение инфраструктуры, увеличение затрат на восстановление, снижение операционной эффективности и устойчивости электроснабжения, особенно в условиях увеличения доли ВИЭ. Потеря конфиденциальной информации, нарушение операционной деятельности, возможные отключения или перебои в энергоснабжении, ущерб репутации, штрафные санкции со стороны регуляторов, снижение доверия со стороны инвесторов и потребителей.
Смягчающие действия 1. Внедрение системы климатического мониторинга и анализа уязвимости объектов.
2. Развитие интеллектуальных энергосетей (Smart Grid) и цифровых технологий.
3. Модернизация ЛЭП 220–500 кВ.
4. Инвестиции в устойчивую инфраструктуру и «зеленые» облигации для финансирования адаптационных проектов. 		1. Внедрение систем кибербезопасности и мониторинга угроз.
2. Актуализация внутренних регламентов по информационной безопасности.
3. Обучение персонала методам противодействия киберугрозам.
4. Проведение стресс-тестирования систем.
5. Сотрудничество с национальными центрами киберзащиты.

Так, в 2024 году идентифицирован и включен в Реестр рисков на 2025 год климатический риск, который может возникнуть в связи с изменением климата — экстремальное повышение температуры воздуха, наводнения, сильные ветровые нагрузки (физические риски) и реализацией мер по митигации его последствий — политические и регуляторные меры в области изменения климата, несоответствие технологическим инновациям, поддерживающим переход к низкоуглеродной экономике, ужесточение требований фондовых бирж и финансовых институтов по раскрытию нефинансовой информации касательно климата (переходные риски). Система внутреннего контроля АО «KEGOC» (СВК) использует модель COSO и включает пять взаимосвязанных компонентов: контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникации, мониторинг.

Политика системы внутреннего контроля АО «KEGOC» определяет внутренний контроль как процесс, осуществляемый участниками системы внутреннего контроля с целью достижения поставленных задач по трем ключевым областям:

  • операционная деятельность;
  • подготовка финансовой отчетности;
  • соблюдение нормативных и законодательных требований.

СВК предусматривает построение Компанией системы управления, способной быстро реагировать на процессные риски, осуществлять контроль над основными и вспомогательными бизнес-процессами и ежедневными операциями, а также осуществлять незамедлительное информирование руководства соответствующего уровня о любых существенных недостатках и областях для улучшения.

В соответствии с Регламентом по организации и проведению работ по системе внутреннего контроля АО «KEGOC», разграничивается компетенция органов, входящих в СВК, в зависимости от их роли к процессам разработки, утверждения, применения и оценки эффективности СВК. Совет директоров и Правление Компании при выполнении своих функций опираются на модель «Три линии защиты». Участниками СВК являются Совет директоров, Правление, Комитет по аудиту, Служба внутреннего аудита, структурные подразделения — владельцы бизнес-процессов и подпроцессов, исполнители контрольных процедур, структурное подразделение, ответственное за управление рисками и внутреннего контроля.

В Компании на регулярной основе проводится оценка дизайна контрольных процедур, в рамках которой осуществляется анализ действующих бизнес-процессов.

Данная работа включает идентификацию и оценку процессных рисков, анализ внутренних нормативных документов и блок-схем, а также оценку эффективности контрольных процедур. По итогам оценки дизайна матрица рисков и контрольных процедур согласовывается и утверждается владельцем бизнес-процесса, а также выдаются рекомендации по улучшению бизнес-процесса.

СВА является ответственной за непосредственное проведение оценки эффективности СВК, тестирование операционной эффективности контрольных процедур, формирование и представление соответствующей отчетности для Комитета по аудиту и Совета директоров.

На ежегодной основе в Компании на основании реестра бизнес-процессов Компании утверждается план оценки дизайна контрольных процедур, в рамках которого проводится анализ эффективности дизайна контрольных процедур. По результатам данного анализа разрабатываются рекомендации по их совершенствованию и области для улучшения.

В Компании внедрена система обеспечения непрерывности деятельности, в рамках которой определяются бизнес-процессы/подпроцессы, требующие разработки планов ОНД. В 2024 году была проведена работа по определению критичных бизнес-процессов/подпроцессов Компании, для которых были разработаны и протестированы планы ОНД, в частности для оказания услуг системного оператора по технической диспетчеризации, для обеспечения безопасности в области охраны труда и надежности работы оборудования, для предоставления и поддержки ИТК услуг, для управления инцидентами информационной безопасности и осуществления деятельности АО «KEGOC» при возникновении ЧС.

В Компании на ежегодной основе Служба внутреннего аудита АО «KEGOC» проводит оценку эффективности КСУР и СВК, представляемой Совету директоров Компании. По результатам оценки, проведенной СВА в 2024 году, системы внутреннего контроля и управления рисками функционируют в допустимой форме, предоставляющей разумные гарантии достижения целей Компании. По всем выявленным несоответствиям, на основании рекомендаций СВА, разработаны соответствующие планы корректирующих мероприятий, мониторинг исполнения которых проводится постоянно.