Система контроля

В Компании функционирует система внутреннего контроля (СВК), которая охватывает ключевые бизнес‑процессы и все уровни управления Группы.

Система внутреннего контроля интегрирована в процессы корпоративного управления Компании и направлена на достижение целей достоверности финансовой отчетности, эффективности операционной деятельности и целей комплаенс.

Ревизионная комиссия

Результаты работы Ревизионной комиссии

В 2023 году Ревизионной комиссией была проведена проверка хозяйственной деятельности Компании за 2022 год. По итогам проверки подготовлено заключение, представленное акционерам в составе материалов к годовому Общему собранию акционеров. Результаты проверки хозяйственной деятельности Компании за 2023 год будут представлены к годовому Общему собранию акционеров в 2024 году.

На годовом Общем собрании акционеров 6 июня 2023 года Ревизионная комиссия была избрана в следующем составе: Дзыбалов А.С., Масалова А.В., Сванидзе Г.Э., Горнин Э.Л., Яневич Е.А.

Внутренний аудит

В Компании функция внутреннего аудита осуществляется Департаментом внутреннего аудита, который создан в целях оказания содействия Совету директоров и исполнительным органам в повышении эффективности управления Компанией, совершенствовании ее финансово‑хозяйственной деятельности путем системного и последовательного подхода к анализу и оценке системы управления рисками и внутреннего контроля как инструментов обеспечения разумной уверенности в достижении поставленных перед Компанией целей.

Департамент внутреннего аудита проводит объективные и независимые проверки, в ходе которых оценивает эффективность СВК и корпоративной системы управления рисками (КСУР). На основе проведенных проверок готовятся отчеты и предложения топ‑менеджменту по совершенствованию процедур внутреннего контроля, осуществляется контроль за разработкой планов мероприятий по устранению нарушений.

В целях обеспечения независимости и объективности Департамент внутреннего аудита функционально подотчетен Совету директоров через Комитет по аудиту и находится в административном подчинении Президенту Компании. В Компании действует Политика по внутреннему аудиту, утвержденная Советом директоров.

В 2023 году на заседаниях Комитета по аудиту рассматривались следующие вопросы:

• обновление Методики оценки эффективности КСУР;
• отчеты о работе департамента за 2022 год, шесть месяцев и девять месяцев 2023 года, включая итоги проведенных аудиторских проверок, выявленные недостатки и корректирующие мероприятия, разработанные менеджментом по совершенствованию процедур внутреннего контроля и минимизации рисков;
• итоги самооценки функции внутреннего аудита;
• рассмотрение годового плана работ Департамента внутреннего аудита;
• согласование карты КПЭ директора Департамента внутреннего аудита.

Комитетом по аудиту отмечена эффективность работы Департамента внутреннего аудита в отчетном периоде.

В 2023 году Департаментом внутреннего аудита были выполнены проверки по следующим направлениям:

• эксплуатация автоматизированных систем управления технологическими процессами (АСУТП) на производственных объектах Компании;
• выполнение стратегических инвестиционных проектов Компании;
• морские и речные перевозки грузов Компании;
• процессы корпоративного управления;
• процедуры контроля за ИТ‑активами и ИТ‑проектами.

Департамент внутреннего аудита уделяет большое внимание развитию цифровых методов обработки данных. Так, в 2023 году с использованием инструментов data‑аналитики был проведен аудит процесса закупок, применение современного метода позволило обработать значительные объемы данных и представить их в графическом виде.

Также была проведена годовая оценка эффективности КСУР и СВК Компании за 2023 год. Итогом оценки является вывод, что КСУР и СВК Компании в целом функционируют эффективно, имеются отдельные замечания. Результаты оценки рассмотрены на заседании Комитета по аудиту.

По рекомендациям, выданным в ходе проверок, менеджментом разрабатываются корректирующие мероприятия. В течение 2023 года менеджментом выполнено 214 мероприятий, которые включают обновление нормативных документов, разработку новых либо изменение действующих контрольных процедур, информирование и обучение персонала, идентификацию и оценку рисков.

В программе SAP AM Департамент внутреннего аудита осуществляет непрерывный мониторинг выполнения мероприятий, разработанных менеджментом. Аналитическая информация о видах и количестве мероприятий регулярно рассматривается на заседаниях Комитета по аудиту.

Внутренний контроль

Единство подходов построения, функционирования и развития СВК, формирования контрольной среды, системы оценки рисков бизнес‑процессов, внедрения контрольных процедур, разделения полномочий и прав доступа в информационных системах обеспечивает Департамент внутреннего контроля.

Департамент внутреннего контроля на основе рискориентированного подхода проводит регулярный мониторинг бизнес‑процессов Компании:

• закупочная и инвестиционная деятельность;
• сделки по капитальному строительству и корпоративному страхованию;
• действующие системы учета металлосодержащих продуктов.

В Компании также осуществляется непрерывный контроль соблюдения нормативных требований в области противодействия неправомерному использованию инсайдерской информации и манипулированию рынком, а также в области противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма, финансированию распространения оружия массового уничтожения.

В рамках проведения самооценки системы внутреннего контроля и аудита финансовой отчетности, проводимого внешней компанией, ежегодно осуществляется оценка эффективности и уровня зрелости СВК в «Норникеле». Отчеты с результатами оценки эффективности СВК рассматриваются менеджментом Компании и Комитетом Совета директоров по аудиту.

Информация о СВК в Компании ведется в информационной системе SAP GRC PC, проводятся процедуры оценки ее эффективности, готовятся отчеты.

Служба корпоративного доверия

В Компании функционирует Служба корпоративного доверия (СКД), целью которой является оперативное реагирование на следующую информацию:

• любые виды нарушений;
• хищение или нецелевое использование имущества Компании;
• любые действия, которые могут быть расценены как коррупция, злоупотребление полномочиями, коммерческий подкуп, мошенничество;
• несоблюдение прав сотрудников;
• нарушение сотрудниками этических норм и принципов поведения.

Сотрудники, акционеры и другие заинтересованные лица могут направить обращение как о фактических, так и о предполагаемых событиях, которые несут материальный ущерб или вред деловой репутации Компании.

Все поступившие обращения регистрируются с присвоением уникального номера, и далее проводится тщательная проверка информации.

Компания ни в коем случае не подвергает заявителя, обратившегося в СКД, санкциям и преследованиям (в том числе сотрудников увольнению, лишению премии, понижению в должности и т. д.). В случае поступления обращения о воздействии на заявителя проводятся обязательные проверки таких обращений и тщательный анализ результатов. На всех уровнях проводится регулярный мониторинг статуса заявителей в целях выявления случаев необоснованного воздействия на них. С 2023 года Компанией внедрены процедуры предоставления обратной связи заявителям и оценки удовлетворенности заявителя, на основе формы — отзыва о рассмотрении и урегулировании жалобы/обращения.

Жалобы/обращения по вопросам нарушения этических норм и принципов рассматриваются на заседаниях комиссий, созданных по решению руководителя подразделения Компании или предприятия Группы, в адрес которого был направлен запрос о проведении проверки жалобы/обращения. В случае подтверждения поступившей информации о нарушении сотрудниками норм корпоративной этики, выявлении неурегулированных межличностных конфликтов, менеджментом проводятся мероприятия по урегулированию конфликтных ситуаций, сотрудникам повторно разъясняется необходимость соблюдения норм деловой этики, организовываются и проводятся встречи с трудовыми коллективами. Сотрудники могут быть привлечены к дисциплинарной ответственности за нарушение этических норм и принципов.

Антикоррупционная деятельность

«Норникель» уверен, что следование подходам честного, прозрачного, этичного ведения бизнеса, а также поддержание высокого уровня корпоративной культуры способствует укреплению деловой репутации Компании и развитию доверительных отношений с инвесторами, партнерами, сотрудниками и другими заинтересованными сторонами.

В своей текущей деятельности «Норникель» придерживается принципа нулевой толерантности к любым коррупционным проявлениям, соблюдает требования антикоррупционного законодательства России и других стран, на территории которых осуществляет свою деятельность, а также признает значимость реализации и соблюдения процедур, направленных на предотвращение коррупции.

Так, члены Совета директоров и Правления Компании личным примером задают этический стандарт непримиримого отношения к любым формам и проявлениям коррупции на всех уровнях.

С целью обеспечения соответствия законодательным требованиям и правилам ведения этичного, прозрачного бизнеса в «Норникеле» внедрена и постоянно совершенствуется система антикоррупционного комплаенса. Основными приоритетами такой системы являются предупреждение и минимизация коррупционных рисков и укрепление приверженности сотрудников Компании высоким этическим стандартам. Антикоррупционные стандарты утверждены по всей Группе.

Компания регулярно идентифицирует и анализирует коррупционные риски и управляет ими в рамках общей системы управления рисками, включая контроль и мониторинг антикоррупционных мероприятий и процедур, а также применяет широкий набор различных инструментов для оценки и устранения возможных коррупционных рисков при взаимодействии с контрагентами.

Норникель стремится поддерживать уважительные, крепкие деловые отношения с партнерами и не запрещает получение и предоставление деловых подарков, являющихся частью общепринятой деловой практики. Требования и критерии в области обмена деловыми подарками закреплены в Положении по обмену деловыми подарками, которое распространяется на всех сотрудников Компании.

Компания заинтересована в том, чтобы максимально снизить коррупционные риски в текущих и новых бизнес‑процессах, и с этой целью проводит антикоррупционную экспертизу внутренних документов, по результатам которой наличие коррупциогенных факторов не допускается. В случае выявления такого фактора ответственному за документ дается рекомендация по корректировке необходимого пункта или раздела.

С целью подтверждения соответствия антикоррупционным требованиям Компания один раз в два года предоставляет в Антикоррупционную хартию российского бизнеса декларацию о соблюдении ее положений.

«Норникель» ежегодно публикует в Отчете об устойчивом развитии информацию, которая содержит статистические данные о зафиксированных коррупционных нарушениях, подтверждая свою открытость и прозрачность перед заинтересованными сторонами.

Эффективность соблюдения антикоррупционных принципов Компании основана на персональной ответственности каждого сотрудника. Так, все сотрудники Компании при приеме на работу проходят вводный инструктаж по вопросам соблюдения требований антикоррупционного законодательства и в обязательном порядке знакомятся с документами в области антикоррупционной деятельности, а также подписывают соглашение, закрепляющее их обязательства в области противодействия коррупции.

Также на регулярной основе проводится обучение сотрудников по вопросам противодействия коррупции, вовлекая их в реализацию антикоррупционных программ. Компания обеспечивает эффективное обучение с завершающими этапами тестирования для разных целевых аудиторий: например, все сотрудники ежегодно проходят дистанционный курс «Противодействие коррупции», HR‑сотрудники — курс «О соблюдении антикоррупционного законодательства сотрудниками служб персонала», для членов Совета директоров и Правления разработан дистанционный курс «Противодействие коррупции для руководителей». Доля сотрудников, проинформированных о политиках и методах противодействия коррупции, на конец 2023 года составляет 100%. Обучение законодательным требованиям и положениям корпоративных документов в области противодействия коррупции в 2023 году прошли около 26 тыс. сотрудников.

Одним из приоритетных направлений системы антикоррупционного комплаенса является управление конфликтом интересов, который чаще всего может стать причиной коррупционных правонарушений. Утвержденное Положение о предотвращении и урегулировании конфликта интересов предусматривает обязательное раскрытие предконфликтной ситуации и принятие своевременных мер по недопущению любой возможности возникновения конфликта интересов. В целях повышения эффективности работы по предупреждению, выявлению и урегулированию конфликта интересов, а также в целях обеспечения соблюдения принципов законности и совершенствования корпоративной культуры в Группе созданы постоянно действующие комиссии по урегулированию конфликта интересов.

Компания стремится поддерживать и повышать уровень нетерпимости сотрудников к коррупции. Для этого в Компании существуют различные каналы, по которым можно сообщить о коррупционном факте. Для всех сотрудников Группы и ее партнеров обеспечен свободный и удобный доступ к информации о документах и реализуемых мерах, направленных на борьбу с коррупцией, размещенной на официальном сайте Компании в специальном разделе «Антикоррупция».

Для снижения возможных рисков при взаимодействии с подрядчиками Компания проверяет деловую репутацию, благонадежность и платежеспособность потенциальных контрагентов. В целях предотвращения злоупотреблений в ходе закупочной процедуры и получения максимальной выгоды за счет объективного выбора наилучшего предложения в «Норникеле» исполнитель закупки, заказчик и секретарь закупочного коллегиального органа соблюдают следующие правила:

• закупочный процесс организован с применением принципа разделения ролей;
• коммерческие предложения поставщиков сравниваются по объективным и измеримым показателям, утвержденным до приглашения поставщиков к участию в закупочной процедуре;
• результаты отбора и выбор победителя закупочной процедуры для материальных закупок утверждаются закупочным коллегиальным органом, в состав которого входят представители разных функциональных подразделений Компании;
• ежегодно с каждым поставщиком заключается или обновляется генеральное соглашение, содержащее статью «Антикоррупционная оговорка». В ней описан порядок взаимодействия поставщика и Компании при возникновении рисков различных злоупотреблений. Дополнительно подписанием генерального соглашения поставщик подтверждает свое ознакомление с Политикой Компании в области антикоррупционной деятельности.

В целях развития и совершенствования системы антикоррупционного комплаенса в 2023 году были реализованы следующие мероприятия:

• утвержден единый подход по оценке коррупционных рисков при взаимодействии с контрагентами;
• актуализированы и запущены дистанционные курсы «Противодействие коррупции» и «Противодействие коррупции для руководителей» по всей Группе;
• проведено анкетирование по оценке эффективности принимаемых антикоррупционных мер в Компании среди сотрудников.
• проведена обучающая кампания по управлению ситуациями конфликта интересов для сотрудников Группы, ответственных за внедрение антикоррупционных процедур;
• пересмотрены и обновлены нормативно‑методические документы Компании в области противодействия коррупции.

На официальном сайте Компании функционирует отдельный раздел «Антикоррупция», в котором размещается информация о принятых в Компании документах, направленных на борьбу с коррупцией, о проводимых мероприятиях по противодействию коррупции, ее профилактике.

За последние три года в обращениях через СКД не были классифицированы случаи по теме «коррупционные действия».

Антимонопольная деятельность

В Компании с 2017 года действует система антимонопольного комплаенса, направленная на организацию процессов своевременного предупреждения, выявления, устранения причин и условий, способствующих совершению нарушений антимонопольного законодательства; соблюдение норм действующего законодательства Компанией и организациями корпоративной структуры.

В 2020 году в Федеральный закон от 26 июля 2006 года № 135‑ФЗ «О защите конкуренции» были внесены изменения, предусматривающие требования к внутренним актам организаций в сфере антимонопольного комплаенса, а также право организаций представить такие акты в Федеральную антимонопольную службу и при подтверждении их соответствия установленным нормативным требованиям получить от антимонопольного органа заключение. В рамках новой предусмотренной законом процедуры 25 марта 2021 года Компания первой в стране получила заключение Федеральной антимонопольной службы о соответствии действующей системы антимонопольного комплаенса требованиям законодательства.

«Норникель» провел внутреннюю оценку и выделил подразделения, деятельность которых сопряжена с антимонопольными рисками. В таких подразделениях были определены сотрудники, ответственные за антимонопольную комплаенс‑функцию, которые прошли инструктаж о применимых запретах и ограничениях, предусмотренных антимонопольным законодательством. Управленческие решения в Группе принимаются с учетом требований антимонопольного законодательства.

Корпоративная безопасность

Управление системой корпоративной защиты в «Норникеле» основано на комплексе программ по обеспечению корпоративной и экономической безопасности.

В развитие принципов Политики в области противодействия корпоративному мошенничеству, утвержденной Советом директоров Компании, выстраиваются системные меры по предупреждению, выявлению и противодействию злоупотреблениям, корпоративному мошенничеству и коррупционным проявлениям. В целях экономической безопасности в Компании применяются следующие меры:

• внедрение в систему закупочной деятельности индикаторов нарушений, таких как признаки картельного сговора, конфликт интересов, лоббирование интересов участников закупочной процедуры, необоснованные ограничения и др.;
• оптимизация методологии проверки контрагентов;
• разработка и внедрение в структуру обучающих курсов для сотрудников Группы, тренинга по противодействию корпоративному мошенничеству.

В 2023 году комплексно решена задача обеспечения корпоративной безопасности при реализации стратегических инвестиционных проектов Группы по направлениям экономической защиты законных интересов Компании во взаимоотношениях с подрядчиками, кадровой безопасности персонала и безопасности на объектах.

На принципиально новом уровне для решения важных задач обеспечения экономической безопасности производства начало функционировать специализированное подразделение — Центр химико‑криминалистических исследований и экспертиз, оснащенный современным комплексом аналитического оборудования. Это позволило существенно расширить функции Центра и проводить широкий спектр исследований для оказания технической помощи производственным и контрольно‑аналитическим подразделениям в сфере обеспечения качества продукции, расследования причин возникновения нештатных ситуаций на производстве, в проведении углубленных химических, минералогических, структурных исследований материалов и веществ при разработке новых технологий обогатительных и металлургических производств, а также при проведении специального внешнего контроля качества и достоверности анализа цветных и драгоценных металлов. Высокая оценка Комплексной методики анализа и идентификации металлосодержащих материалов, разработанной Центром, дана участниками Международной ассоциации металлов платиновой группы.

На плановой основе выполняются мероприятия по обеспечению антитеррористической защиты объектов производства, транспорта и топливно‑энергетического комплекса, предотвращению актов незаконного вмешательства в их работу.

Информационная безопасность

В 2023 году с учетом внешних вызовов и особенностей российского рынка Компания пересмотрела подход к обеспечению информационной безопасности (ИБ). Была реорганизована функция ИБ, сформирована и утверждена стратегия ее дальнейшего развития, которая предусматривает в том числе продолжение курса на импортозамещение решений ИБ, а также переход на сервисную модель.

Компанией были приняты дополнительные меры по защите периметров технологической инфраструктуры предприятий и снижению рисков в связи с тем, что в условиях продолжающегося возрастания количества и сложности кибератак, а также с учетом сохранения удаленного режима работы для части сотрудников требовались меры по обеспечению информационной безопасности корпоративных ресурсов и инфраструктуры.

Постоянный мониторинг уровня защищенности систем Компании позволяет своевременно выявлять и устранять уязвимости, а также принимать требуемые меры по противодействию кибервторжениям.

Программы

В Компании внедрены необходимые процессы информационной безопасности, в частности:

• идентификация и классификация информационных активов;
• управление доступом к информационным активам;
• анализ защищенности;
• управление рисками;
• управление инцидентами;
• управление архитектурой ИБ;
• мониторинг и эксплуатация средств защиты информации;
• экспертиза проектов информационных технологий и АСУТП в части требований ИБ.

В 2023 году в рамках непрерывно осуществляемого процесса идентификации и классификации информационных активов Компания продолжила активно реализовывать планы по приведению информационных активов в соответствие корпоративным стандартам в области ИБ, внедряя необходимые решения и средства защиты информации.

Защита АСУТП

В 2023 году был пересмотрен подход к защите технологических процессов на базе отечественных решений. По‑прежнему приоритетным остается покрытие базовыми мерами (средствами и системами) защиты максимального числа предприятий и производственных площадок, на которых эксплуатируются АСУТП. Особое внимание уделяется выполнению регуляторных требований по защите систем промышленной автоматизации.

Согласно плану по внедрению базовых мер защиты технологических процессов завершены работы на основных производственных площадках Норильского дивизиона, а также на предприятии газового комплекса, обеспечивающем добычу и транспортировку энергоресурсов в Норильский промышленный район.

В 2023 году проведен внутренний аудит управления мероприятиями по защите АСУТП «Норникеля». Это позволило оценить общий подход к защите АСУТП, а также эффективность обеспечения безопасности технологической инфраструктуры. По итогам аудита дана высокая оценка результатам работы функции информационной безопасности в области защиты АСУТП:

• в Компании реализуются проекты по созданию систем защиты технологических и производственных процессов, определен порядок внедрения средств и систем защиты АСУТП с учетом лучших международных практик;
• на корпоративном уровне действуют нормативно‑методические документы, регламентирующие вопросы информационной безопасности и технического оснащения АСУТП.

С целью повышения общего уровня защищенности АСУТП рекомендации, полученные по итогам аудита, будут реализованы в 2024 году.

Импортозамещение

В связи с уходом с российского рынка многих иностранных поставщиков решений ИБ, а также в соответствии с новыми законодательными требованиями «Норникель» продолжает процесс импортозамещения, в том числе для систем промышленной автоматизации. Компания завершила сравнение и выбор 100% решений по ИБ для средств защиты информации первого приоритета, 65% — для средств защиты информации второго приоритета. В 2023 году запущены проекты по внедрению выбранных средств защиты информации. До 2026 года включительно планируется произвести импортозамещение базовых средств защиты информации для наиболее критичных предприятий Группы с выполнением всех требований законодательства и регуляторов. Завершить процесс импортозамещения на всех предприятиях Группы планируется до 2028 года включительно.

Система реагирования на киберинциденты

В рамках функции ИБ действует направление реагирования на киберинциденты, которое в своей деятельности использует ряд передовых технических решений, а также лучшие практики управления процессами киберзащиты. Продолжается работа по масштабированию разработанных и документированных процессов и процедур обеспечения непрерывности функции ИБ, активация которых в случае нештатных и чрезвычайных ситуаций позволяет повысить ее устойчивость. Актуальность разработанных процедур регулярно проверяется путем тестирования, проводимого не реже одного раза в квартал.

Любой сотрудник Компании в случае обнаружения подозрительного контента или активности на корпоративных устройствах может направить эту информацию для проверки в подразделение, отвечающее за ИБ. Специалисты проводят оценку возможного деструктивного влияния на информационные системы Компании и принимают меры, направленные на предотвращение и устранение последствий инцидентов. За год специалистами проведено более 6 тыс. проверок по обращениям сотрудников «Норникеля».

За год сотрудниками ИБ было обработано более 1 тыс. инцидентов, количество отработанных событий ИБ превышает 18 тыс.

Традиционно функция ИБ тесно сотрудничает с партнерами по отрасли и регуляторами. Второй год в рамках подписанного соглашения о сотрудничестве ведется эффективное взаимодействие с Национальным координационным центром по компьютерным инцидентам.

Управление уязвимостями

В течение 2023 года Компании сохраняла фокус на прикладных аспектах ИБ — управлении уязвимостями и анализе защищенности корпоративных ресурсов — с целью минимизации рисков и обеспечения устойчивости к современным киберугрозам в динамичной цифровой среде.

Применение передовых методик анализа защищенности помогло выявить слабые места в 57 эксплуатируемых системах и оперативно принимать необходимые меры по их устранению. Регулярные тестирования на проникновение и сценарные угрозы помогли оценить уровень готовности Компании к современным кибератакам. За год были разработаны и реализованы новые стратегии управления уязвимостями, направленные на противостояние новым методам воздействия злоумышленников и обеспечение непрерывной защиты систем Компании.

В стремлении к постоянному улучшению уровня ИБ Компания успешно реализует стратегию внедрения DevSecOps (процесс обеспечения безопасности на протяжении всего жизненного цикла разработки программного обеспечения), что позволяет интегрировать аспекты безопасности непосредственно в процессы разработки и эксплуатации программных продуктов, обеспечивая тем самым более эффективное и прозрачное управление безопасностью на всех этапах жизненного цикла приложений.

Компания также взяла на себя ответственность за обеспечение безопасной разработки трех ключевых проектов горного производства в рамках деятельности Индустриального центра компетенций (ИЦК) «Металлургия», что позволило не только активно участвовать в обмене передовыми технологиями и лучшими практиками, но и создать уникальные решения, отвечающие специфике металлургической отрасли. Внедряемый процесс продемонстрировал эффективность принципов и практик DevSecOps для раннего обнаружения и оперативного устранения потенциальных киберугроз.

Обучение и информирование

Компания уделяет большое внимание повышению осведомленности сотрудников о принципах обеспечения ИБ и правилах цифровой гигиены. В 2023 году поставлена глобальная цель по повышению культуры ИБ для сотрудников всей Группы.

На ежегодной основе проводится обучение сотрудников с учетом актуальных киберугроз и рисков. В 2023 году было проведено 95 плановых и 19 внеплановых тренингов в формате электронных курсов и очных лекций. Обучение прошли 34 104 сотрудника Группы.

Кроме того, регулярно проводятся учения, включающие в том числе имитацию фишинговых рассылок и иных способов незаконного воздействия на пользователей. По итогам учений актуализируются инструкции для сотрудников.

Дополнительно на регулярной основе организуются тематические информационные рассылки об актуальных угрозах ИБ и правилах цифровой гигиены.

Сертификация

Согласно ведущим мировым практикам на предприятиях «Норникеля» поддерживается работа систем управления информационной безопасностью (СУИБ), соответствующих требованиям международного стандарта ISO/IEC 27001:2013. Выстроенная на основе международных стандартов СУИБ позволяет систематизировать и структурировать процессы обеспечения ИБ, выстраивать эффективную матрицу контрольных процедур, своевременно идентифицировать и минимизировать риски.

По итогам проверок площадок «Норникеля» в 2023 году внешний аудитор отметил высокий уровень вовлеченности руководства в процессы СУИБ, готовность предприятий реагировать на новые угрозы и вызовы. Сотрудники, входящие в область действия СУИБ, продемонстрировали отличные знания по ИБ.

Благодаря применению подхода непрерывного совершенствования процессов управления ИБ деятельность «Норникеля» по разработке и внедрению передовых решений в сфере киберзащиты промышленных активов неоднократно отмечалась профессиональным сообществом и отраслевыми общественными организациями.

В целях дальнейшего поддержания высокого уровня зрелости процессов обеспечения ИБ предприятиями «Норникеля» на 2024 год запланирована серия аудитов по переходу на версию стандарта ISO/IEC 27001:2022.

Вовлечение топ‑менеджмента

В Компании действует Политика информационной безопасности, которая распространяется на всех сотрудников и в том числе определяет участие и ответственность Совета директоров и Правления Компании в данной области. К их компетенции относятся в том числе вопросы рассмотрения рисков ИБ, а также бюджетов программ и проектов в данной сфере. Регулярный мониторинг рисков осуществляется в формате профильных комитетов и корпоративной отчетности.

Кросс‑функциональное взаимодействие

В 2023 году в промышленную эксплуатацию было введено корпоративное приложение «Суперника», которое объединяет цифровые сервисы и предоставляет возможность коммуникаций внутри Компании. Приложение создано на базе коммерческой платформы и доступно любому сотруднику круглосуточно с любого устройства, как корпоративного, так и личного. В рамках проекта Компания уделила особое внимание аспектам ИБ данного приложения. Была инициирована существенная доработка приложения для соответствия внутренним нормативно‑методическим требованиям. Как результат, многие доработки были перенесены в общедоступную версию данной платформы, что стало ценным вкладом в повышение ИБ корпоративных коммуникаций в стране в целом.

Партнерства и обмен опытом

Созданный по инициативе компании «Норникель», клуб «Безопасность информации в промышленности» («БИП‑Клуб») уже более шести лет является одним из наиболее авторитетных объединений руководителей подразделений информационной безопасности и информационных технологий крупных промышленных холдингов России. Клуб зарекомендовал себя в качестве эффективной площадки для обмена опытом и лучшими практиками по защите информационных систем, а также для государственно‑частного диалога, в том числе по таким актуальным вопросам, как законодательное регулирование отрасли и импортозамещение в сфере ИБ.

В 2023 году с учетом изменения внешней ситуации и появления новых цифровых вызовов и угроз повестка Клуба была актуализирована, в частности за счет новых направлений корпоративной безопасности. Состав участников удвоился, в настоящее время в «БИП‑Клубе» представлены более 70 российских компаний, в том числе флагманы ключевых отраслей промышленности.

В рамках тематики международной ИБ «Норникель» поддерживает сотрудничество с Советом безопасности и Министерством иностранных дел Российской Федерации, участвует в выработке и обсуждении позиционных документов в данной области. Компания также принимает участие в работе Национальной ассоциации международной информационной безопасности.

«Норникель» стремится сделать вклад в развитие рынка ИБ для промышленного сектора экономики. Активная работа на этом направлении проводится с компаниями — поставщиками решений в области ИБ.

В 2023 году Компания первой среди заказчиков провела открытую встречу с разработчиками и вендорами продуктов и услуг в сфере ИБ. Представители функции ИБ «Норникеля» рассказали о своих подходах и требованиях, об ожиданиях заказчика и о перспективах эффективного сотрудничества в рамках программы импортозамещения. Во встрече приняли участие представители более 200 российских компаний — игроков рынка ИБ и партнеров по отрасли.

Участники соглашений планируют совместно разрабатывать предложения по совершенствованию, тестированию и внедрению решений ИБ в промышленных системах, в том числе отвечающих за непрерывность производственного цикла и целостность бизнес‑процессов в «Норникеле».

Защита персональных данных

В Компании внедрен и применяется комплекс организационно‑технических мер для защиты персональных данных, включая защиту персональных данных третьих лиц, различных типов субъектов и для соответствия законодательству России. Техническая защита обеспечивается средствами: антивирусной защиты, предотвращения утечек, контроля отчуждаемых устройств, анализа событий безопасности.

Особое внимание в Компании уделяется обеспечению соответствия процессов обработки персональных данных требованиям законодательства. В Компании разработана и постоянно обновляется Методика по обеспечению комплаенса персональных данных. В соответствии с этой методикой в 2023 году на 13 предприятиях Группы процессы обработки персональных данных приведены в соответствие с требованиями законодательства и локальных актов Компании.

Независимый аудит

Выбор независимой аудиторской организации для осуществления аудита финансовой отчетности «Норникеля» проводится на конкурсной основе в соответствии с действующим в Компании порядком. Комитет по аудиту Совета директоров, рассмотрев результаты предварительного отбора, дает рекомендацию Совету директоров по кандидатуре аудитора для утверждения на годовом Общем собрании акционеров ПАО «ГМК «Норильский никель».

В 2023 году Общее собрание акционеров по рекомендации Совета директоров в качестве аудитора утвердило компанию АО «Кэпт» для проведения аудиторской проверки финансовой отчетности по РСБУ и МСФО за 2023 год.

Комитет по аудиту Совета директоров зафиксировал отсутствие замечаний к отчетам аудитора, дополнительно отметив качество материалов для целей согласования финансовой отчетности, и признал работу АО «Кэпт» в качестве аудитора Компании за 2023 год эффективной.