РАСКРЫТИЕ ИНФОРМАЦИИ

Правила раскрытия информации НРД, согласованные с Банком России (Уведомление от 20.09.2017 № 14−6-22/9132), определяют порядок раскрытия информации, то есть обеспечение доступности информации о НРД неопределенному или неограниченному кругу заинтересованных лиц в соответствии с процедурой, гарантирующей ее нахождение и получение, в том числе:

• информации, которую НРД обязан предоставлять в соответствии с требованиями законодательства Российской Федерации;
• информации, которую НРД предоставляет по своей собственной инициативе или по запросу заинтересованного лица.

Правила, в частности, устанавливают, что НРД в своей деятельности придерживается принципа информационной открытости для акционеров, клиентов, деловых партнеров, контрагентов, органов государственной власти, работников НРД и других заинтересованных лиц. В соответствии с этим принципом надлежащий уровень раскрытия информации обеспечивается соблюдением следующих правил:

• соответствие деятельности, направленной на раскрытие информации, стратегии развития (целям и задачам) НРД и Группы «Московская Биржа» в целом;
• обеспечение достоверности и доступности раскрываемой информации;
• обеспечение своевременности, регулярности и неизбирательности (недопустимости преимущественного удовлетворения интересов одних групп получателей информации по сравнению с другими) раскрытия информации;
• соблюдение разумного баланса между открытостью НРД и соблюдением его коммерческих интересов, а также интересов Группы «Московская Биржа» в целом;
• соблюдение требований законодательства Российской Федерации и других нормативных правовых актов о коммерческой и банковской тайне, инсайдерской информации, а также требований внутренних документов НРД по работе со сведениями конфиденциального характера;
• соблюдение норм профессиональной этики;
• каналы распространения информации должны обеспечивать свободный, необременительный и незатратный доступ заинтересованных лиц к раскрываемой информации.

В целях выполнения Правил приказом Председателя Правления НРД утвержден «Регламент подготовки, проверки и утверждения информации, раскрываемой НРД как центральным депозитарием», в котором определен перечень раскрываемой НРД информации (данных, сведений, документов, иных информационных материалов) и установлены ответственные за подготовку, проверку и утверждение раскрываемой информации.

В дополнение к традиционным возможностям НРД обеспечивает предоставление информации и возможность коммуникаций с контрагентами через социальные сети Twitter и Facebook.

АУДИТ

Ревизионная комиссия

Ревизионная комиссия — контролирующий орган, осуществляющий функции внутреннего финансово-хозяйственного контроля за деятельностью НРД. Члены Ревизионной комиссии избираются на годовом Общем собрании акционеров НРД.

В состав Ревизионной комиссии НРД входят:

1. Мелентьева Ольга Вячеславовна;
2. Никонов Максим Алексеевич;
3. Сухачев Владимир Викторович

Порядок деятельности Ревизионной комиссии НРД регулируется Положением о Ревизионной комиссии, утвержденным Общим собранием акционеров НРД.

Существенные аспекты взаимодействия с аудитором

Решением годового Общего собрания акционеров НРД от 30 мая 2019 года аудитором НРД по РСБУ (Российским стандартам бухгалтерского учета) и МСФО (Международным стандартам финансовой отчетности) на срок до годового Общего собрания акционеров НРД в 2020 году утверждено АО «Делойт и Туш СНГ».

АО «Делойт и Туш СНГ» уполномочено на проведение в соответствии с законодательством Российской Федерации независимой проверки бухгалтерского учета, финансовой (бухгалтерской) и налоговой отчетности НРД и формирования финансовых результатов за финансовый год, системы внутреннего контроля, подготовку и представление аудиторских заключений о достоверности отчетности НРД за финансовый год, составленной в соответствии с РСБУ и МСФО, а также, в случае обнаружения существенных недостатков системы бухгалтерского учета и внутреннего контроля, информационного письма, адресованного руководству НРД, с описанием обнаруженных недостатков.

Аудиторская организация не имеет существенных интересов, связывающих ее с НРД и Группой «Московская Биржа».

Взаимодействие с аудитором осуществляется на основании Договора оказания аудиторских услуг и услуг по проведению обзорной проверки. Целью аудита является выражение мнения о достоверности бухгалтерской (финансовой) отчетности НРД и соответствии порядка ведения НРД бухгалтерского учета законодательству Российской Федерации. Под достоверностью понимается степень точности данных бухгалтерской (финансовой) отчетности, которая позволяет пользователю этой отчетности на основании ее данных делать правильные выводы о результатах хозяйственной деятельности, финансовом и имущественном положении НРД и принимать базирующиеся на этих выводах обоснованные решения. В период проведения аудиторской проверки также осуществляется проверка регистров налогового учета и налоговой отчетности, представленной НРД по установленным формам (налоговых деклараций, расчетов по налогам и пр.), а также правомерность использования налоговых льгот. Целью обзорной проверки является формирование вывода о том, были ли в ходе выполнения ограниченного объема контрольных процедур выявлены факты, которые могут служить основанием для того, чтобы считать, что промежуточная финансовая отчетность НРД за первое полугодие не была подготовлена во всех существенных отношениях в соответствии с Международным стандартом бухгалтерского учета 34 «Промежуточная финансовая отчетность».

Взаимодействие с аудитором осуществляется в несколько этапов:

• 1-й этап: анализ информационных систем НРД;
• 2-й этап: обзорная проверка промежуточной финансовой отчетности в соответствии с МСФО за первое полугодие;
• 3-й этап: промежуточные процедуры; аудит состояния бухгалтерского учета и контроля, остатков на счетах и налоговой отчетности за 9 месяцев финансового года;
• 4-й этап: финальные процедуры — аудит состояния бухгалтерского учета и контроля, остатков на счетах, финансовой отчетности в соответствии с РСБУ и МСФО, а также налоговой отчетности за 12 месяцев финансового года.

Для проведения аудиторской проверки НРД выделяет ответственного представителя, который взаимодействует с подразделениями НРД и организует своевременное представление информации для проведения аудита.

В соответствии с Договором на оказание аудиторских услуг и услуг по проведению обзорной проверки аудиторская организация принимает на себя обязательства о неукоснительном соблюдении требований законодательных актов Российской Федерации и других нормативных актов, руководствуясь Федеральным законом от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности», международными стандартами аудита, а также федеральными стандартами аудиторской деятельности, действующими в Российской Федерации. Кроме того, аудиторская организация в обязательном порядке:

• обеспечивает сохранность и возврат документов, получаемых в ходе аудиторской проверки, не разглашает их содержание или иную информацию без согласия НРД, за исключением случаев, предусмотренных законодательством Российской Федерации;
• представляет по требованию НРД необходимую информацию о требованиях законодательства Российской Федерации, касающихся проведения аудита, в том числе налогового аудита, а также о нормативных актах, на которых основываются замечания и выводы аудитора;
• проверяет документацию финансово-хозяйственной деятельности НРД, а также наличие любого имущества, учтенного в этой документации.

В случае выявления нарушений налогового законодательства и искажений бухгалтерской и налоговой отчетности НРД, носящих существенный характер, аудиторская организация сообщает руководству НРД об ответственности за допущенные нарушения и необходимости внесения изменений в бухгалтерскую отчетность, уточнения налоговых деклараций и расчетов.

Аудиторская организация самостоятельно определяет формы и методы аудита исходя из требований нормативных актов РФ, а также конкретных условий договора на оказание аудиторских услуг.

В период проведения аудиторской проверки НРД берет на себя обязательства по созданию условий, а также осуществлению содействия аудиторам для своевременного и полного проведения аудиторской проверки и налогового аудита. НРД предоставляет специалистам аудиторской организации всю востребованную ими информацию и документацию, необходимую для осуществления аудита, дает исчерпывающие разъяснения и подтверждения по запросам аудиторов, а также запрашивает необходимые для проведения аудита сведения у третьих лиц.

ВНУТРЕННИЙ КОНТРОЛЬ

Согласно требованиям законодательства Российской Федерации и нормативных актов Банка России система внутреннего контроля НРД соответствует характеру и масштабу осуществляемых НРД операций (как центральным депозитарием, небанковской кредитной организацией, профессиональным участником рынка ценных бумаг, клиринговой организацией, репозитарием), уровню и сочетанию принимаемых рисков.

Внутренний контроль осуществляется в целях:

• обеспечения эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок; эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления рисками;
• обеспечения достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) общества в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений);
• соблюдения законодательства Российской Федерации, нормативных актов Банка России, стандартов саморегулируемых организаций, учредительных и внутренних документов общества;
• исключения вовлечения общества и его сотрудников в осуществление противоправной деятельности, в том числе по легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также своевременного представления в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России.

Активное участие в управлении системой внутреннего контроля принимают Наблюдательный совет НРД, Правление и Председатель Правления НРД. В НРД постоянно действует Комиссия по аудиту — консультативно-совещательный орган Наблюдательного совета НРД, образованный для обеспечения эффективности работы системы внутреннего контроля НРД, работы внешнего аудита, оценки эффективности работы системы управления рисками, а также для подготовки рекомендаций Наблюдательному совету и исполнительным органам НРД в соответствии с их компетенцией при принятии решений по данным вопросам.

Система внутреннего контроля НРД построена по принципу 3 линий защиты в соответствии с лучшими международными практиками. Уровень развития системы внутреннего контроля как развитой подтвержден независимым аудитором.

Контрольные функции на постоянной основе осуществляют два департамента: Департамент внутреннего аудита (ДВА) и Департамент внутреннего контроля (ДВК).

ДВА осуществляет деятельность по оценке надежности и эффективности системы внутреннего контроля, системы управления рисками и корпоративного управления в организации, эффективности бизнес-процессов НРД, а также предоставляет органам управления НРД контрольную информацию по результатам внутреннего аудита и оказывает консультационную поддержку по вопросам процедур внутреннего контроля в организации.

ДВК осуществляет текущий контроль деятельности НРД, в том числе деятельности центрального депозитария, клиринговой организации, репозитария, ответственного лица по ПОД/ФТ, ответственного лица по противодействию неправомерному использованию инсайдерской информации и манипулированию рынком.

Наибольшее внимание в области ПОД/ФТ в 2019 году было уделено вопросам автоматизации в условиях меняющихся требований законодательства Российской Федерации, противодействию проведения сомнительных операций с использованием ранее не характерных инструментов и услуг.

Направление комплаенс были сосредоточены на выполнении возрастающих регуляторных требований к деятельности НРД, требованиях иностранных государств в части налоговых рисков (FATCA, The Common Reporting Standard), управлении геополитическими рисками.

ДВК постоянно развивает и совершенствует инструменты контроля, в том числе мониторинг:

• своевременности направления регуляторной отчетности в Банк России;
• доступа к инсайдерской информации;
• качества работы с обращениями клиентов, имеющими признаки жалоб;
• соблюдения требованиям законодательства и нормативных актов Банка России в области ПОД/ФТ.

В 2019 году НРД успешно прошел проверку Банком России основных направлений деятельности.

Многоуровневая организация системы внутреннего контроля НРД позволяет эффективно выявлять и управлять рисками в процессе осуществления всех видов деятельности НРД.

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Достижение стратегических целей НРД тесно связано с управлением информацией — ее защита является важнейшим фактором успешной и стабильной работы.

НРД обладает статусом центрального депозитария, платежная система НРД признана национально значимой, при этом НРД предоставляет банковские, репозитарные, клиринговые и другие услуги на финансовом рынке. Все эти факторы ставят информационную безопасность и снижение киберрисков НРД в ряд ключевых системных задач.

Работа по обеспечению информационной безопасности (ИБ) в НРД организована в соответствии с законодательством Российской Федерации, требованиями и рекомендациями Банка России, комплексом документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее — Комплекс Б Р ИББС), политикой информационной безопасности НРД, а также с учетом лучших практик и международных стандартов.

Данная деятельность направлена на обеспечение безопасности активов клиентов при обслуживании в НРД, а также банковских, депозитарных, расчетных и информационных автоматизированных комплексов НРД с целью обеспечения устойчивого и эффективного функционирования НРД и защиты интересов Компании, ее акционеров, инвесторов и клиентов от угроз в информационной сфере. Задачи эффективного управления риском нарушения ИБ в НРД возложены на Управление информационной безопасности, которое осуществляет работу, направленную на выявление актуальных угроз и их противодействие.

В соответствии с требованиями законодательства Российской Федерации, Комплекса Б Р ИББС Управление информационной безопасности принимает активное участие в анализе бизнес-процессов, разработке технических заданий, внедрении программно-аппаратных средств, проводит экспертизу договорной базы, регулирует процессы разделения доступа пользователей, осуществляет настройку и техническую поддержку средств защиты информации, распределение прав доступа и контроль ключевой информации.

Регулярные аудиты ИБ позволяют НРД получать объективные оценки соответствия текущего уровня защищенности. Управлением информационной безопасности ежеквартально формируется отчет по киберзащищенности с текущим статусом защищенности систем, предоставляемый Правлению, Председателю Правления, Департаменту риск-менеджмента, аудиторской комиссии Наблюдательного совета НРД.

Независимый аудит исполнения требований Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», выполненный в 2019 году, подтвердил их соответствие требованиям Банка России и международным принципам для инфраструктур финансового рынка и показал повышение ранее достигнутого уровня ИБ НРД.

Для поддержания и повышения достигнутого уровня ИБ НРД работал над совершенствованием средств защиты информации, базы внутренней документации по ИБ и повышением безопасности программного кода в разрабатываемых бизнес-системах.

В 2019 году Управление информационной безопасности НРД уделяло особое внимание:

• защищенности внутренних систем с фокусом на те из них, к которым имеется доступ через сеть Интернет, путем устранения найденных во время испытаний на проникновение и проверок уязвимостей;
• актуализации внутренних документов по ИБ;
• минимизации уязвимостей объектов информационной инфраструктуры НРД;
• автоматизации процессов и процедур ИБ.

Был разработан и внедрен комплекс мероприятий по совершенствованию процесса управления уязвимостями, что позволило выявлять и устранять уязвимости объектов информационной инфраструктуры НРД до возникновения негативных последствий, возникновение которых могло бы произойти в случае эксплуатации уязвимостей злоумышленниками.

За прошедший год:

• был расширен перечень информационных систем, для которых проводятся проверки статического кода на предмет возможных потенциальных уязвимостей, автоматизирован процесс обязательной проверки всех версий информационных систем, предназначенных для установки в промышленную среду, начато внедрение инструментов анализа защищенности используемых сторонних библиотек и информационных систем, находящихся в тестировании. Это позволит повысить эффективность и продолжить снижение количества уязвимостей по отношению к предыдущим периодам при проверке в ходе последующих испытаний на проникновение;
• произведена актуализация внутренних документов по информационной безопасности в рамках обработки и защиты персональных данных;
• улучшен процесс управления доступом и учетными записями пользователей за счет внедрения дополнительных средств защиты информации;
• автоматизирован процесс управления жизненным циклом учетных записей.

Управление информационной безопасности постоянно совершенствует систему методологического и технологического обеспечения своей деятельности: систематически проводится анализ законодательных и нормативных изменений, в том числе ГОСТ 57580.1−2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», на основании которых в существующие редакции внутренних документов своевременно вносятся необходимые изменения, внедряются и обновляются технические средства защиты.

СВЕДЕНИЯ ОБ УЧАСТИИ НРД В ДРУГИХ ОРГАНИЗАЦИЯХ