Раскрытие информации

Правила раскрытия информации НРД, согласованные Банком России, определяют порядок раскрытия информации, то есть обеспечение доступности информации о НРД неопределенному или неограниченному кругу заинтересованных лиц в соответствии с процедурой, гарантирующей ее нахождение и получение, в том числе:

• информации, которую НРД обязан предоставлять в соответствии с требованиями законодательства Российской Федерации;
• информации, которую НРД предоставляет по своей собственной инициативе или по запросу заинтересованного лица.

Правила, в частности, устанавливают, что НРД в своей деятельности придерживается принципа информационной открытости для акционеров, клиентов, деловых партнеров, контрагентов, органов государственной власти, работников НРД и других заинтересованных лиц. В соответствии с этим принципом надлежащий уровень раскрытия информации обеспечивается соблюдением следующих правил:

• соответствие деятельности, направленной на раскрытие информации, стратегии развития (целям и задачам) НРД и Группы «Московская Биржа» в целом;
• обеспечение достоверности и доступности раскрываемой информации;
• обеспечение своевременности, регулярности и неизбирательности (недопустимости преимущественного удовлетворения интересов одних групп получателей информации по сравнению с другими) раскрытия информации;
• соблюдение разумного баланса между открытостью НРД и соблюдением его коммерческих интересов, а также интересов Группы «Московская Биржа» в целом;
• соблюдение требований законодательства Российской Федерации и других нормативных правовых актов о коммерческой и банковской тайне, инсайдерской информации, а также требований внутренних документов НРД по работе со сведениями конфиденциального характера;
• соблюдение норм профессиональной этики;
• каналы распространения информации должны обеспечивать свободный, необременительный и незатратный доступ заинтересованных лиц к раскрываемой информации.

В целях выполнения Правил приказом Председателя Правления НРД утверждены следующие документы:

• «Регламент подготовки, проверки и утверждения информации, раскрываемой НКО АО НРД как центральным депозитарием»;
• «Регламент подготовки, проверки и публикации информации, раскрываемой НКО АО НРД как клиринговой организацией».

В данных регламентах определен перечень раскрываемой НРД информации (данных, сведений, документов, иных информационных материалов) и установлены лица, ответственные за подготовку, проверку и утверждение раскрываемой информации.

В дополнение к традиционным возможностям НРД обеспечивает предоставление информации и возможность коммуникаций с контрагентами через социальную сеть Facebook.

Аудит

Ревизионная комиссия

Ревизионная комиссия — контролирующий орган, осуществляющий функции внутреннего финансово-хозяйственного контроля за деятельностью НРД. Члены Ревизионной комиссии избираются на годовом Общем собрании акционеров НРД.

Состав Ревизионной комиссии НРД, избранный годовым Общим собранием акционеров НРД 02.06.2020:

1. Мелентьева Ольга Вячеславовна.
2. Никонов Максим Алексеевич.
3. Сухачев Владимир Викторович.

Порядок деятельности Ревизионной комиссии НРД регулируется Положением о Ревизионной комиссии, утвержденным Общим собранием акционеров НРД.

Существенные аспекты взаимодействия с аудитором

Решением годового Общего собрания акционеров НРД от 2 июня 2020 года аудитором НРД по РСБУ (Российским стандартам бухгалтерского учета) и МСФО (Международным стандартам финансовой отчетности) на срок до годового Общего собрания акционеров НРД в 2021 году утверждено АО «Делойт и Туш СНГ».

АО «Делойт и Туш СНГ» уполномочено на проведение в соответствии с законодательством Российской Федерации независимой проверки бухгалтерского учета, финансовой (бухгалтерской) и налоговой отчетности НРД и формирования финансовых результатов за финансовый год, системы внутреннего контроля, подготовку и представление аудиторских заключений о достоверности отчетности НРД за финансовый год, составленной в соответствии с РСБУ и МСФО, а также, в случае обнаружения существенных недостатков системы бухгалтерского учета и внутреннего контроля, информационного письма, адресованного руководству НРД, с описанием обнаруженных недостатков.

Аудиторская организация не имеет существенных интересов, связывающих ее с НРД и Группой «Московская Биржа».

Взаимодействие с аудитором осуществляется на основании Договора оказания аудиторских услуг и услуг по проведению обзорной проверки. Целью аудита является выражение мнения о достоверности бухгалтерской (финансовой) отчетности НРД и соответствии порядка ведения НРД бухгалтерского учета законодательству Российской Федерации. Под достоверностью понимается степень точности данных бухгалтерской (финансовой) отчетности, которая позволяет пользователю этой отчетности на основании ее данных делать правильные выводы о результатах хозяйственной деятельности, финансовом и имущественном положении НРД и принимать базирующиеся на этих выводах обоснованные решения. В период проведения аудиторской проверки также осуществляется проверка регистров налогового учета и налоговой отчетности, представленной НРД по установленным формам (налоговых деклараций, расчетов по налогам и пр.), а также правомерность использования налоговых льгот. Целью обзорной проверки является формирование вывода о том, были ли в ходе выполнения ограниченного объема контрольных процедур выявлены факты, которые могут служить основанием для того, чтобы считать, что промежуточная финансовая отчетность НРД за первое полугодие не была подготовлена во всех существенных отношениях в соответствии с Международным стандартом бухгалтерского учета 34 «Промежуточная финансовая отчетность».

Взаимодействие с аудитором осуществляется в несколько этапов:

• 1-й этап: анализ информационных систем НРД;
• 2-й этап: обзорная проверка промежуточной финансовой отчетности в соответствии с МСФО за I полугодие;
• 3-й этап: промежуточные процедуры; аудит состояния бухгалтерского учета и контроля, остатков на счетах и налоговой отчетности за 9 месяцев финансового года;
• 4-й этап: финальные процедуры: аудит состояния бухгалтерского учета и контроля, остатков на счетах, финансовой отчетности в соответствии с РСБУ и МСФО, а также налоговой отчетности за 12 месяцев финансового года.

Для проведения аудиторской проверки НРД выделяет ответственного представителя, который взаимодействует с подразделениями НРД и организует своевременное представление информации для проведения аудита.

В соответствии с Договором на оказание аудиторских услуг и услуг по проведению обзорной проверки аудиторская организация принимает на себя обязательства о неукоснительном соблюдении требований законодательных актов Российской Федерации и других нормативных актов, руководствуясь Федеральным законом от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности» и международными стандартами аудита, признанными для применения в Российской Федерации. Кроме того, аудиторская организация в обязательном порядке выполняет следующие действия:

• обеспечивает сохранность и возврат документов, получаемых в ходе аудиторской проверки, не разглашает их содержание или иную информацию без согласия НРД, за исключением случаев, предусмотренных законодательством Российской Федерации;
• представляет по требованию НРД необходимую информацию о требованиях законодательства Российской Федерации, касающихся проведения аудита, в том числе налогового аудита, а также о нормативных актах, на которых основываются замечания и выводы аудитора;
• проверяет документацию финансово-хозяйственной деятельности НРД, а также наличие любого имущества, учтенного в этой документации.

В случае выявления нарушений налогового законодательства и искажений бухгалтерской и налоговой отчетности НРД, носящих существенный характер, аудиторская организация сообщает руководству НРД об ответственности за допущенные нарушения и необходимости внесения изменений в бухгалтерскую отчетность, уточнения налоговых деклараций и расчетов.

Аудиторская организация самостоятельно определяет формы и методы аудита исходя из требований нормативных актов РФ, а также конкретных условий договора на оказание аудиторских услуг.

В период проведения аудиторской проверки НРД берет на себя обязательства по созданию условий, а также осуществлению содействия аудиторам для своевременного и полного проведения аудиторской проверки и налогового аудита. НРД предоставляет специалистам аудиторской организации всю востребованную ими информацию и документацию, необходимую для осуществления аудита, дает исчерпывающие разъяснения и подтверждения по запросам аудиторов, а также запрашивает необходимые для проведения аудита сведения у третьих лиц.

Внутренний контроль

Согласно требованиям законодательства Российской Федерации и нормативных актов Банка России, система внутреннего контроля НРД соответствует характеру и масштабу осуществляемых НРД операций (как центральным депозитарием, небанковской кредитной организацией, профессиональным участником рынка ценных бумаг, клиринговой организацией, репозитарием), уровню и сочетанию принимаемых рисков.

Внутренний контроль осуществляется в целях:

• обеспечения эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления рисками;
• обеспечения достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) Общества в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений);
• соблюдения законодательства Российской Федерации, нормативных актов Банка России, стандартов саморегулируемых организаций, учредительных и внутренних документов Общества;
• исключения вовлечения Общества и его сотрудников в осуществление противоправной деятельности, в том числе по легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также своевременного представления в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России.

Активное участие в управлении системой внутреннего контроля принимает Наблюдательный совет НРД, Правление и Председатель Правления НРД. В НРД постоянно действует Комиссия по аудиту — консультативно-совещательный орган Наблюдательного совета НРД, образованный для обеспечения эффективности работы системы внутреннего контроля НРД, работы внешнего аудита, оценки эффективности работы системы управления рисками, а также для подготовки рекомендаций Наблюдательному совету и исполнительным органам НРД в соответствии с их компетенцией при принятии решений по данным вопросам.

Система внутреннего контроля НРД построена по принципу трех линий защиты в соответствии с лучшими международными практиками. Уровень развития системы внутреннего контроля как развитой подтвержден независимым аудитором.

Контрольные функции на постоянной основе осуществляют два департамента: Департамент внутреннего аудита (ДВА) и Департамент внутреннего контроля (ДВК).

ДВА осуществляет деятельность по оценке надежности и эффективности системы внутреннего контроля, системы управления рисками и корпоративного управления в организации, эффективности бизнес-процессов НРД, а также предоставляет органам управления НРД контрольную информацию по результатам внутреннего аудита и оказывает консультационную поддержку по вопросам процедур внутреннего контроля в организации.

ДВК осуществляет текущий контроль деятельности НРД, в том числе деятельности центрального депозитария, клиринговой организации, репозитария, ответственного лица по ПОД/ФТ/ФРОМУ, по противодействию неправомерному использованию инсайдерской информации и манипулированию рынком.

Наибольшее внимание в области ПОД/ФТ/ФРОМУ в 2020 году было уделено вопросам автоматизации в условиях меняющихся требований законодательства Российской Федерации, противодействию проведению сомнительных операций с использованием ранее не характерных инструментов и услуг.

Направление комплаенс было сосредоточено на выполнении лицензионных регуляторных требований к деятельности НРД, развитии инструментов контроля при управлении регуляторным риском, минимизации геополитических рисков.

ДВК постоянно развивает и совершенствует инструменты контроля, в том числе:

• доступа к инсайдерской информации;
• качества работы с клиентскими обращениями, имеющими признаки жалоб;
• соблюдения требований законодательства и нормативных актов Банка России в области ПОД/ФТ/ФРОМУ.

Многоуровневая организация системы внутреннего контроля НРД позволяет эффек- тивно выявлять, оценивать и управлять рисками в процессе осуществления всех видов деятельности НРД.

Обеспечение информационной безопасности

Достижение стратегических целей НРД тесно связано с управлением информацией — ее защита является важнейшим фактором успешной и стабильной работы.

НРД обладает статусом центрального депозитария, а платежная система НРД признана национально и системно значимой. НРД предоставляет банковские, репозитарные, клиринговые и другие услуги участникам финансового рынка. Все эти факторы ставят информационную безопасность и снижение киберрисков НРД в ряд ключевых системных задач.

Работа по обеспечению информационной безопасности (ИБ) в НРД организована в соответствии с законодательством Российской Федерации, требованиями и рекомендациями Банка России, комплексом документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее — Комплекс Б Р ИББС), политикой информационной безопасности НРД, а также с учетом лучших практик и международных стандартов.

Данная деятельность направлена на обеспечение безопасности активов клиентов при обслуживании в НРД, а также банковских, депозитарных, расчетных и информационных автоматизированных комплексов НРД с целью обеспечения устойчивого и эффективного функционирования НРД и защиты интересов компании, ее акционеров, инвесторов и клиентов от угроз в информационной сфере. Задачи эффективного управления риском нарушения ИБ в НРД возложены на Управление информационной безопасности (УИБ), которое осуществляет работу, направленную на выявление актуальных угроз и противодействие им.

В соответствии с требованиями законодательства Российской Федерации, Комплекса Б Р ИББС УИБ НРД принимает активное участие в анализе бизнес-процессов, разработке технических заданий, внедрении программно-аппаратных средств, проводит экспертизу договорной базы; регулирует процессы разделения доступа пользователей, осуществляет настройку и техническую поддержку средств защиты информации, занимается распределением прав доступа и контролем ключевой информации.

Регулярные аудиты ИБ позволяют НРД получать объективные оценки соответствия текущего уровня защищенности. УИБ ежеквартально формируется отчет по киберзащищенности с текущим статусом защищенности систем, предоставляемый Правлению, Председателю Правления, Департаменту риск-менеджмента, Аудиторской комиссии Наблюдательного совета НРД.

Завершена независимая оценка соответствия системы обеспечения информационной безопасности требованиям положений Банка России № 683-п и № 684-п, а также ГОСТ Р 57580.1−2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Разработан и выполняется план мероприятий по достижению целевого уровня соответствия.

Для поддержания и повышения достигнутого уровня ИБ НРД работал над совершенствованием средств защиты информации, базы внутренней документации по ИБ и повышением безопасности программного кода в разрабатываемых бизнес-системах.

В 2020 году УИБ НРД уделяло особое внимание:

• защищенности внутренних систем с фокусом на те из них, к которым имеется доступ через сеть Интернет, путем устранения найденных во время испытаний на проникновение и проверок уязвимостей;
• актуализации внутренних документов по ИБ;
• выявлению уязвимостей объектов информационной инфраструктуры НРД и их оперативному устранению;
• автоматизации процессов и процедур ИБ;
• сопровождению перехода на дистанционную работу и реализации механизмов безопасного взаимодействия работников с информационными системами НРД;
• оптимизации процессов обеспечения информационной безопасности с учетом перехода на дистанционный режим работы;
• обучению сотрудников «Основам кибербезопасности».

Был разработан и внедрен комплекс мероприятий по совершенствованию процесса управления уязвимостями, что позволило выявлять и устранять уязвимости объектов информационной инфраструктуры НРД до возникновения негативных последствий в случае эксплуатации уязвимостей злоумышленниками.

В 2020 году было достигнуто следующее:

• был расширен перечень информационных систем, для которых проводятся проверки статического кода на предмет возможных потенциальных уязвимостей, внедрены инструменты анализа защищенности используемых сторонних библиотек и информационных систем, находящихся в тестировании. Это позволило повысить эффективность и продолжить снижение количества уязвимостей по отношению к предыдущим периодам при проверке в ходе последующих испытаний на проникновение;
• начата практика проверки защищенности внешних систем и компонентов на этапе планирования их внедрения в информационные системы и процессы НРД. В части случаев низкая исходная защищенность компонентов привела к отказу от их использования либо замене на более защищенные;
• для обеспечения полного соответствия требованиям закона № 152-ФЗ «О персональных данных» начаты работы по глубокому анализу содержащихся в информационных системах НРД персональных данных и определению условий и сроков их уничтожения по окончании обработки;
• протестированы и внедрены на пилотной зоне инструменты защиты целостности ключевых исполняемых файлов информационных систем на всех этапах их жизненного цикла;
• улучшен процесс управления доступом и учетными записями пользователей за счет внедрения дополнительных средств защиты информации;
• автоматизирован процесс управления жизненным циклом учетных записей;
• адаптирована и расширена программа повышения осведомленности в области информационной безопасности для работников НРД на платформе Kaspersky ASAP;
• уделено отдельное внимание превентивным мероприятиям по предотвращению возможного мошенничества в платежных процессах НРД.

Сведения об участии НКО АО НРД в других организациях