Органы контроля

В Компании функционирует система управления рисками и внутреннего контроля (СУРиВК), которая охватывает все бизнес‑процессы и уровни управления Группы. Система контроля интегрирована в процессы корпоративного управления Компании и направлена на достижение целей достоверности финансовой отчетности, эффективности операционной деятельности и целей комплаенса.

Выделяют следующие органы контроля:

• Ревизионная комиссия;
• Комитет Совета директоров по аудиту;
• Департамент внутреннего аудита;
• Система внутреннего контроля;
• Служба риск‑менеджмента;
• Независимый аудит (внешний контроль).

Ревизионная комиссия

Ревизионная комиссия является органом контроля за финансово‑хозяйственной деятельностью Компании. Члены Ревизионной комиссии в количестве пяти человек избираются ежегодно на годовом Общем собрании акционеров.

В 2024 году Ревизионной комиссией была проведена проверка хозяйственной деятельности Компании за 2023 год. По итогам проверки подготовлено заключение, представленное акционерам в составе материалов к годовому заседанию Общего собрания акционеров. Результаты проверки хозяйственной деятельности Компании за 2024 год будут представлены к годовому заседанию в 2025 году.

Вознаграждение

На годовом Общем собрании акционеров было установлено вознаграждение для каждого члена Ревизионной комиссии Компании, не являющегося сотрудником «Норникеля», в размере 1,8 млн руб. в год. Указанный размер вознаграждения аналогичен вознаграждению в 2023 году. Членам комиссии, являющимся сотрудниками «Норникеля», вознаграждение за работу в составе Ревизионной комиссии не выплачивается. Премии и иные вознаграждения в 2024 году не выплачивались.

Внутренний аудит

В Компании функция внутреннего аудита осуществляется Департаментом внутреннего аудита, который создан для содействия Совету директоров и исполнительным органам в повышении эффективности управления бизнес‑процессами Компании и оценке СУРиВК. Департамент функционирует на основе Положения о Департаменте внутреннего аудита. В Компании действует Политика в области внутреннего аудита, утвержденная Советом директоров.

Департамент внутреннего аудита регулярно проводит объективные и независимые проверки, в ходе которых также оценивается эффективность системы внутреннего контроля (СВК) и корпоративной системы управления рисками (КСУР). На основе проведенных проверок готовятся отчеты топ‑менеджменту по совершенствованию процедур внутреннего контроля и осуществляется контроль за разработкой планов мероприятий, в случае обнаружения нарушений.

Результаты 2024 года

В 2024 году Департаментом внутреннего аудита были выполнены проверки по следующим направлениям:

• управление ТОиР и эксплуатация АСУТП на производственных площадках;
• инвестиционные проекты;
• транспортные услуги производственного характера;
• корпоративные процессы (закупочная деятельность, благотворительность, мониторинговые функции Главного офиса);
• управление ИТ‑активами.

Департамент внутреннего аудита уделяет большое внимание развитию цифровых методов обработки данных. Методы дата‑аналитики используются в аудите начиная с 2020 года. На протяжении двух лет успешно проводится непрерывный аудит 100% закупок Компании, в 2025 году планируется тестирование данной технологии на других процессах.

По рекомендациям, выданным в ходе проверок, менеджментом разрабатываются корректирующие мероприятия. В течение 2024 года было выполнено более 200 мероприятий, направленных на устранение не только несоответствий, но и коренных причин выявленных недостатков.

Департамент внутреннего аудита осуществляет непрерывный мониторинг выполнения мероприятий, разработанных менеджментом, аналитическая информация о видах и количестве мероприятий регулярно рассматривается на заседаниях Комитета по аудиту.

Комитетом по аудиту была отмечена эффективность работы Департамента внутреннего аудита в отчетном периоде.

Также Департаментом внутреннего аудита была проведена годовая оценка эффективности КСУР и СВК Компании за 2024 год. Итогом оценки является вывод, что КСУР и СВК Компании в целом функционируют эффективно, имеются отдельные замечания. Результаты оценки рассмотрены на Комитете по аудиту и Совете директоров.

Оценка

В соответствии со Стандартами внутреннего аудита Департаментом внутреннего аудита ежегодно проводится самооценка, результаты которой регулярно рассматриваются на заседаниях Комитета по аудиту и Совета директоров Компании.

Самооценка 2024 года учитывала результаты реализации Дорожной карты развития функции внутреннего аудита. Результаты самооценки показывают, что практика Департамента внутреннего аудита в целом соответствует требованиям стандартов, отмечены отдельные области для улучшений.

Планы на 2025 год

План аудитов покрывает области ключевых рисков Компании с учетом приоритетов, учитывает тематические запросы Комитета Совета директоров по аудиту и топ‑менеджмента Компании, а также содержит обязательные ежегодные оценки эффективности СУРиВК Компании.

План работ Департамента внутреннего аудита на 2025 год, утвержденный Советом директоров, включает 18 проверок по следующим направлениям:

• аудит производственных процессов;
• аудит корпоративных процессов;
• аудит деятельности филиалов и дочерних компаний;
• ИТ‑аудиты;
• ежегодные оценки.

Система внутреннего контроля

В «Норникеле» функционирует комплексная система внутреннего контроля (СВК), которая выстраивается в соответствии с лучшими международными (COSO) и российскими практиками. Департамент внутреннего контроля обеспечивает функционирование и развитие СВК, формирование контрольной среды, систему оценки рисков бизнес‑процессов, внедрение контрольных процедур, разделение полномочий и прав доступа в информационных системах.

Департамент внутреннего контроля на основе риско‑риентированного подхода проводит регулярный мониторинг бизнес‑процессов Компании. В Компании также осуществляется непрерывный контроль за соблюдением нормативных требований в области противодействия неправомерному использованию инсайдерской информации и манипулированию рынком, а также в области противодействия легализации (отмыванию) доходов, полученных преступным путем, финансирование терроризма и финансирование распространения оружия массового уничтожения.

Оценка качества СВК

В Компании на ежегодной основе проводится самооценка СВК в соответствии с утвержденным Правлением периметром. Процедуры самооценки автоматизированы и проводятся с помощью системы SAP GRC PC. Отчеты с результатами оценки эффективности рассматриваются менеджментом Компании и Комитетом Совета директоров по аудиту.

По результатам самооценки отчетного года, деятельность СВК Компании в целом функционирует эффективно, при этом есть зоны для развития. Менеджмент решает и предупреждает проблемы в сфере внутреннего контроля, разрабатывает корректирующие мероприятия и проводит мониторинг их исполнения. В отчетном году оценка уровня зрелости СВК соответствует уровню 4 (из пяти) — «развитый».

Компания не подвергает заявителя, обратившегося в СКД, санкциям и преследованиям. Если обратился сотрудник, то он не лишается премии, не понижается в должности, не увольняется и т. д. В случае поступления информации об оказании воздействия на заявителя за обращение в СКД проводится тщательный анализ ситуации с привлечением экспертов из подразделений безопасности. На всех уровнях проводится регулярный мониторинг статуса заявителей в целях выявления случаев необоснованного воздействия на них. С 2023 года в Компании внедрены обратная связь и оценка удовлетворенности заявителя.

Обращения, связанные с нарушением этических норм и принципов, рассматриваются комиссией, созданной по решению руководителя подразделения, в адрес которого был направлен запрос о проведении проверки. В случае подтверждения поступившей информации менеджментом проводятся мероприятия по урегулированию конфликтных ситуаций, сотрудникам повторно разъясняется необходимость соблюдения норм деловой этики, организовываются и проводятся встречи с трудовыми коллективами. За нарушение этических норм и принципов сотрудники могут быть привлечены к дисциплинарной ответственности.

Горячая линия «Служба корпоративного доверия»

Корпоративная этика и комплаенс

Соблюдение деловой этики

«Норникель» осуществляет свою деятельность на основе поддержки безупречной репутации и соблюдения этических норм ведения бизнеса. Безусловные приоритеты Компании — безопасный труд, жизнь и здоровье сотрудников. В Компании действует Кодекс деловой этики, который регулярно обновляется. Действие Кодекса распространяется на всех сотрудников и играет большую роль в соблюдении профессиональных стандартов и следовании основным ценностям «Норникеля».

Этические принципы «Норникеля»:

• защита ресурсов Компании;
• ответственное отношение к информации и репутации Компании;
• добросовестность;
• поддержка атмосферы партнерства и взаимоуважения;
• поддержка этичного поведения.

Сообщить о потенциальных нарушениях Кодекса может любой сотрудник — обращения подлежат проверке и рассмотрению со стороны ответственных подразделений. Для стимулирования соблюдения принципов этики и честности в работе создана система наград и поощрений сотрудников.

На протяжении всей деятельности в Компании не зафиксировано массовых забастовок и увольнений, а также массовых снижений заработной платы.

Для урегулирования возможных нарушений Кодекса разработаны процедуры, которые позволяют сотрудникам безопасно и конфиденциально сообщать о таких ситуациях. Все обращения проходят проверку. Компания гарантирует, что никакие дисциплинарные меры или санкции, включая увольнение, понижение в должности или лишение премии, не будут применяться к сотрудникам, сообщившим о нарушениях Кодекса.

В Компании предусмотрено обучение, разъясняющее содержание Кодекса, а обучающий модуль о Кодексе интегрирован в программу «Наши ценности», прямую линию «Норникель Live» и корпоративные диалоги.

Инсайдерская информация

Контроль в области противодействия неправомерному использованию инсайдерской информации и манипулированию рынком (далее — ПНИИИМР) является частью СВК Компании. В КомпанииКомпания является субъектом федерального закона от 27 июля 2010 года № 224‑ФЗ. внедрены комплаенс‑процедуры и осуществляется непрерывный контроль соблюдения нормативных требований в области ПНИИИМР.

В Компании разработаны и регулярно актуализируются внутренние документы, регламентирующие процессы в области ПНИИИМР:

• Положение о порядке доступа к инсайдерской информации, правилах охраны ее конфиденциальности и контроля за соблюдением требований законодательства в сфере ПНИИИМР;
• Правила внутреннего контроля по предотвращению, выявлению и пресечению неправомерного использования инсайдерской информации и манипулирования рынком;
• Положение о порядке ведения списка инсайдеров Компании.

Перечень инсайдерской информации Компании размещен на официальном сайте в разделе «Инсайдерам».

С целью осуществления внутреннего контроля и предотвращения регуляторного риска в области ПНИИИМР в «Норникеле» назначено лицо, ответственное за реализацию правил внутреннего контроля. Ответственное должностное лицо регулярно осуществляет контроль выполнения Компанией требований законодательства в сфере ПНИИИМР и предоставляет Президенту Компании отчеты о выполнении этих требований и реализации мероприятий внутреннего контроля.

В «Норникеле» разработаны дистанционные курсы по вопросам работы с инсайдерской информацией для всех сотрудников Компании. Курсы размещены на платформе корпоративного университета «Академия «Норникель» и являются обязательными к прохождению при приеме на работу.

Контроль в области противодействия отмыванию денег и финансирования терроризма

Компания осуществляет комплекс мероприятий в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и распространения оружия массового уничтожения (далее — ПОД/ФТ«Норникель» является субъектом Федерального закона РФ от 07.08.2001 №115‑ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».).

Внутренний контроль в целях ПОД/ФТ является частью СВК Компании и осуществляется структурными подразделениями и сотрудниками Компании на постоянной основе.

Основной внутренний документ в этой области — Правила внутреннего контроля ПАО «ГМК «Норильский никель» в целях ПОД/ФТ (далее — Правила внутреннего контроля). Правила внутреннего контроля своевременно актуализируются в соответствии с изменениями применимого законодательства.

В Компании назначено специальное должностное лицо, которое осуществляет контроль выполнения требований законодательства в сфере ПОД/ФТ с целью предотвращения регуляторного риска для Компании и риска вовлечения сотрудников в схемы отмывания преступных доходов.

Президенту «Норникеля» предоставляются отчеты о результатах применения в Компании Правил внутреннего контроля. Отчеты содержат информацию о выполнении программ внутреннего контроля, количестве выявленных операций, направленных в Росфинмониторинг, а также оценку эффективности СВК и уровень регуляторного риска в области ПОД/ФТ.

Антикоррупционный комплаенс

В своей деятельности «Норникель» придерживается принципа нулевой толерантности к коррупции на всех уровнях, соблюдает требования антикоррупционного законодательства стран, на территории которых осуществляет свою деятельность, и устанавливает высокие требования для сотрудников и партнеров в части ответственного ведения бизнеса.

Менеджмент Компании своим примером подчеркивает непримиримое отношение к любым формам и проявлениям коррупции на всех уровнях, а также необходимос соблюдения этических стандартов в рамках исполнения своих должностных обязанностей.

Антикоррупционная комплаенс‑система «Норникеля», состоящая из политик, процедур и механизмов контроля, регулярно пересматривается и совершенствуется. Таким образом, Компания гарантирует, что соблюдает свои корпоративные ценности, устраняет и минимизирует соответствующие риски, а также выполняет все нормативные требования.

Антикоррупционные политики и процедуры распространяются на всю Группу.

Подробная информация о принятых документах, направленных на борьбу с коррупцией, о проводимых мероприятиях по противодействию коррупции и ее предотвращении размещена в отдельном разделе «Антикоррупция» на сайте Компании.

Выявление коррупционных рисков

Одними из важнейших элементов развития эффективной антикоррупционной комплаенс‑системы являются выявление, анализ и оценка коррупционных рисков. Компания определяет коррупционные правонарушения, которые могут быть совершены сотрудниками, и выявляет бизнес‑процессы, в которых возможно совершение таких неправомерных действий. Таким образом, происходит идентификация коррупционных рисков. Выявленные коррупционные риски анализируются на предмет способов совершения коррупционных правонарушений в бизнес‑процессах, включая должности возможных сотрудников, вовлеченных в коррупционную деятельность. Оценивается уровень вероятности наступления выявленного коррупционного риска и возможный ущерб для Компании в случае реализации такого риска. Компания регулярно применяет механизмы управления коррупционными рисками, включая контроль и мониторинг антикоррупционных мероприятий и процедур, а также применяет широкий набор различных инструментов для оценки и устранения возможных коррупционных рисков при взаимодействии с контрагентами.

«Норникель» заинтересован в том, чтобы максимально снизить коррупционные риски в текущих и новых бизнес‑процессах, и с этой целью проводит антикоррупционную экспертизу внутренних документов, по результатам которой наличие коррупциогенных факторов не допускается. В случае выявления такого фактора ответственному за документ дается рекомендация по корректировке необходимого пункта или раздела.

С целью подтверждения соответствия антикоррупционным требованиям Компания один раз в два года предоставляет в Антикоррупционную хартию российского бизнеса декларацию о соблюдении ее положений.

В целях развития и совершенствования системы антикоррупционного комплаенса в 2024 году были реализованы следующие мероприятия:

• проведена оценка эффективности контролей в области антикоррупционной деятельности;
• адаптирован и запущен механизм ознакомления контрагентов с требованиями и принципами Компании в области противодействия коррупции;
• проведено анкетирование среди сотрудников для оценки состояния коррупции и эффективности принимаемых антикоррупционных мер в филиалах и представительстве Компании;
• запущен этап разработки автоматизации модуля управления ситуациями конфликта интересов;
• проведена обучающая кампания по минимизации коррупционных рисков при взаимодействии с контрагентами для сотрудников Группы, ответственных за внедрение антикоррупционных процедур;
• разработан подход к мониторингу поступивших запросов от контрольно‑надзорных органов в области соблюдения антикоррупционного законодательства;
• проведены мероприятия по контролю и оценке соблюдения требований законодательства Российской Федерации при трудоустройстве и заключении договоров с бывшими государственными служащими;
• пересмотрены и обновлены нормативно‑методические документы Компании в области противодействия коррупции.

Обучение

Эффективность соблюдения антикоррупционных принципов Компании основана на персональной ответственности каждого сотрудника. Все сотрудники Компании при приеме на работу проходят вводный инструктаж по вопросам соблюдения требований антикоррупционного законодательства и в обязательном порядке знакомятся с документами в области антикоррупционной деятельности, а также подписывают соглашение, закрепляющее их обязательства в области противодействия коррупции.

На регулярной основе проводится обучение сотрудников по вопросам противодействия коррупции, вовлечение их в реализацию антикоррупционных программ без отрыва от основной производственной деятельности.

Компания проводит эффективное обучение для разных целевых аудиторий: например, все сотрудники ежегодно проходят дистанционный курс «Противодействие коррупции», HR‑сотрудники — курс «О соблюдении антикоррупционного законодательства сотрудниками служб персонала», для членов Совета директоров и Правления разработан дистанционный курс «Противодействие коррупции для руководителей». Все курсы включают в себя тестирование как завершающий этап обучения. Дистанционные курсы размещены на платформе корпоративного университета «Академия «Норникель».

Доля сотрудников, проинформированных о политиках и методах противодействия коррупции, на конец 2024 года составляет 100%. Обучение законодательным требованиям и положениям корпоративных документов в области противодействия коррупции в 2024 году прошли около 11 тыс. сотрудников.

Управление конфликтом интересов

Одним из приоритетных направлений системы антикоррупционного комплаенса является управление конфликтом интересов, который может стать причиной коррупционных правонарушений. В Компании действует Положение о предотвращении и урегулировании конфликта интересов, которое предусматривает обязательное раскрытие предконфликтной ситуации или ситуации конфликта интересов при приеме на работу и в процессе исполнения трудовых обязанностей, в случае возникновения у сотрудника личной заинтересованности, а также предусматривает обязанность принятия своевременных мер по недопущению любой возможности возникновения конфликта интересов.

В 2024 году была разработана и размещена на корпоративном портале Компании интерактивная памятка по вопросам управления ситуациями конфликта интересов. Для повышения эффективности работы по предупреждению, выявлению и урегулированию конфликта интересов, а также для обеспечения соблюдения принципов законности и совершенствования корпоративной культуры в Группе созданы постоянно действующие комиссии по урегулированию конфликта интересов.

Компания поддерживает и повышает уровень нетерпимости сотрудников к коррупции. Для этого существуют различные каналы, по которым можно сообщить о коррупционном факте, в том числе анонимно.

Для всех сотрудников Группы и ее партнеров обеспечен свободный и удобный доступ к информации о документах и реализуемых мерах, направленных на борьбу с коррупцией, размещенной на официальном сайте Компании в разделе «Антикоррупция».

В Компании на постоянной основе осуществляется мониторинг по предотвращению, выявлению и принятию мер по минимизации рисков корпоративного мошенничества. Проводятся круглые столы, где обсуждаются требования к работе по отдельным направлениям и внедрение специализированных видов контрольных процедур в отношении деятельности, подверженной рискам корпоративного мошенничества. Компания уделяет особое внимание работе информационных каналов, в том числе СКД. В систему обучения был успешно внедрен онлайн‑курс «Противодействие корпоративному мошенничеству», который обязателен для прохождения всеми сотрудниками.

Компания регулярно проводит служебные проверки случаев, связанных с признаками действий корпоративного мошенничества или коррупционного характера. В 2024 году было осуществлено 122 проверки и на основании выявленных сотрудниками Компании фактов совершения противоправных действий в отношении имущества и интересов Компании правоохранительными органами было возбуждено 55 уголовных дел по корпоративному мошенничеству и пять — по коррупционной деятельности.

В 2024 году на горячую линию СКД поступило два обращения, касающихся возможного проявления коррупции со стороны сотрудников Компании. По всем обращениям были проведены проверки, информация о наличии коррупции со стороны сотрудников не подтвердилась.

Антикоррупционные меры для контрагентов

«Норникель» стремится поддерживать уважительные, крепкие деловые отношения с партнерами и не запрещает получение и предоставление деловых подарков, являющихся частью общепринятой деловой практики. Требования и критерии в области обмена деловыми подарками закреплены в Положении по обмену деловыми подарками, которое распространяется на всех сотрудников Компании.

Для снижения возможных рисков при взаимодействии с подрядчиками Компания проверяет деловую репутацию, благонадежность и платежеспособность потенциальных контрагентов. В целях предотвращения злоупотреблений в ходе закупочной процедуры и получения максимальной выгоды за счет объективного выбора наилучшего предложения в «Норникеле» исполнитель закупки, заказчик и секретарь закупочного коллегиального органа соблюдают следующие правила:

• закупочный процесс организован с применением принципа разделения ролей;
• коммерческие предложения поставщиков сравниваются по объективным и измеримым показателям, утвержденным до приглашения поставщиков к участию в закупочной процедуре;
• результаты отбора и выбор победителя закупочной процедуры для материальных закупок утверждаются закупочным коллегиальным органом, в состав которого входят представители разных функциональных подразделений Компании;
• ежегодно с каждым поставщиком заключается или обновляется генеральное соглашение, содержащее статью «Антикоррупционная оговорка». В ней описан порядок взаимодействия поставщика и Компании при возникновении рисков различных злоупотреблений. Дополнительно подписанием генерального соглашения поставщик подтверждает свое ознакомление с Политикой Компании в области антикоррупционной деятельности.

Также в систему закупочной деятельности были внедрены индикаторы нарушений, такие как признаки картельного сговора, конфликт интересов, лоббирование участников закупочной процедуры, необоснованные ограничения и др.

В целях обеспечения экономической безопасности Компании проведено свыше 35 тыс. проверок потенциальных и действующих контрагентов на предмет благонадежности, платежеспособности и финансовой устойчивости, соблюдения ими законодательства, отсутствия коррупционных рисков и надежности в части выполнения договорных обязательств. С учетом полученной в ходе проверок информации 252 организации получили отрицательное заключение, а 56 контрагентов включены в реестр недобросовестных контрагентов Компании в связи с тем, что предоставили заведомо недостоверные сведения либо допустили нарушения условий договора, а также уклонились по результатам конкурсной процедуры от заключения договора.

Антимонопольный комплаенс

В Компании с 2017 года действует система антимонопольного комплаенса, направленная на организацию процессов своевременного предупреждения, выявления, устранения причин и условий, способствующих совершению нарушений антимонопольного законодательства; соблюдения норм действующего законодательства Компанией и организациями корпоративной структуры.

«Норникель» проводит внутреннюю оценку и выделяет подразделения, деятельность которых сопряжена с антимонопольными рисками. В таких подразделениях определяются сотрудники, ответственные за антимонопольную комплаенс‑функцию, которые проходят инструктаж о применимых запретах и ограничениях, предусмотренных антимонопольным законодательством.

Выявление антимонопольных рисков и разработка мероприятий по их устранению и минимизации осуществляется на основании информации от указанных сотрудников, а также в рамках правового сопровождения бизнес‑процессов Группы, к которым относится реализация инвестиционных проектов (в том числе создание и функционирование совместных предприятий), принятие тарифных решений, прекращение тарифного регулирования по отдельным видам деятельности, определение порядка взаимодействия с контрагентами (условий доступа к объектам инфраструктуры), изменение режима функционирования объектов инфраструктуры (проведение реконструкций), выход на новые товарные рынки и т. д.

Информационная безопасность

В Компании действует Политика информационной безопасности, которая распространяется на всех сотрудников и в том числе определяет участие и ответственность Совета директоров и Правления Компании в данной области. К компетенции топ‑менеджмента относятся вопросы рассмотрения рисков информационной безопасности, а также бюджетов программ и проектов в этой сфере. Регулярный мониторинг рисков осуществляется в формате профильных комитетов и корпоративной отчетности.

В 2024 году Компания столкнулась с новыми вызовами, диктующими необходимость доработки существующих подходов к управлению информационной безопасностью (ИБ). Для обеспечения планомерного развития функция ИБ идет по пути усовершенствования сервисной модели, адаптируя свои подходы под лучшие практики рынка. Повышение эффективности существующих процессов обеспечения ИБ является одной из ключевых целей функции на 2025 год.

При формировании стратегии информационной защиты Компании учитываются как растущие риски ИБ, спровоцированные в том числе сохраняющейся напряженностью геополитической обстановки, так и сохраняющийся на уровне государства курс на импортозамещение информационных технологий и решений ИБ. Так, в 2024 году был завершен процесс импортозамещения средств защиты информации для систем промышленной автоматизации в технологической инфраструктуре Компании. Продолжается работа по импортозамещению средств защиты корпоративного контура.

В Компании принимаются дополнительные меры по защите периметров технологической инфраструктуры предприятий и снижению рисков прерывания и остановки производственных процессов.

С учетом сохранения гибридного режима работы для офисных сотрудников Компании завершен первый этап перевода сотрудников на систему двухфакторной аутентификации, который позволит минимизировать риски, связанные с несанкционированным удаленным доступом к корпоративным ресурсам. Ведется постоянный мониторинг уровня защищенности корпоративных систем, результаты которого позволяют своевременно выявлять и устранять уязвимости, а также принимать необходимые меры для противодействия кибервторжениям.

В 2024 году с целью улучшения системы управления ИБ в Компании была разработана и утверждена модель корпоративных процессов ИБ, а также внедрена система управления ИБ‑процессами, позволяющая агрегировать информацию о ключевых результатах работы. Это также позволило обеспечить высокий уровень доступности ИБ‑услуг для внутренних заказчиков в рамках сервисной модели, в том числе посредством дополнительных мероприятий, повышающих уровень защищенности в отношении внешних киберугроз.

Риски, связанные с актами киберпреступности в отношении процессов и систем Компании, а также с нарушениями законодательства в области персональных данных, зарегистрированы в корпоративной системе управления рисками Компании. Владельцем данных рисков является Департамент защиты информации и ИТ‑инфраструктуры.

Цели по обеспечению устойчивой среды к рискам нарушения ИБ Компании предусмотрены в КПЭ Департамента защиты информации и ИТ‑инфраструктуры.

Сертификация

На предприятиях «Норникеля» система управления информационной безопасностью (СУИБ) соответствует требованиям международного стандарта ISO/IEC 27001. СУИБ позволяет систематизировать и структурировать процессы обеспечения ИБ, выстраивать эффективную матрицу контрольных процедур, своевременно идентифицировать и минимизировать риски.

Пять предприятий «Норникеля» обладают сертификатами по международному стандарту ISO/IEC 27001:

• Транспортный филиал в Мурманске;
• Кольская площадка;
• Надеждинский металлургический завод;
• Медный завод;
• Талнахская обогатительная фабрика.

В 2024 году в целях поддержания высокого уровня зрелости процессов обеспечения киберзащиты были реализованы мероприятия по переходу СУИБ площадок на версию стандарта ISO/IEC 27001:2022. По итогам проведенных проверок площадки подтвердили эффективность процессов управления ИБ. Внешний аудитор отметил высокую вовлеченность руководства в процессы СУИБ, готовность предприятий реагировать на новые угрозы и вызовы. Сотрудники, входящие в область действия СУИБ, продемонстрировали отличные знания по информационной безопасности.

Защита и управление уязвимостями

С целью повышения общего уровня защищенности автоматизированных систем управления технологическими процессами (АСУТП) и выполнения рекомендаций, полученных по итогам аудита в 2023 году, все мероприятия, запланированные на 2024 год, выполнены.

Согласно плану по внедрению базовых мер защиты технологических процессов завершены работы на производственных предприятиях Энергетического дивизиона, что значительно снижает риски информационной безопасности на предприятиях, обеспечивающих энергобезопасность для производственных предприятий и городов района Крайнего Севера. В партнерстве с ключевыми партнерами по рынку был доработан и приведен в соответствие требованиям информационной безопасности «Норникеля» ряд отечественных решений, которые предлагаются ведущими производителями систем в области автоматизации технологических и производственных процессов.

В 2024 году Компания улучшила подходы к управлению уязвимостями и анализу защищенности корпоративных систем, уделив особое внимание тестированию АСУТП. Отлаженные процессы исследования позволили выявить слабые места в эксплуатируемых системах, в том числе в АСУТП, и принять своевременные меры по укреплению безопасности. Регулярные тесты на проникновение и отработка взаимодействия с командой центра реагирования также позволяют выявлять и устранять слабости в системах защиты.

Компания активно развивает процессы обеспечения безопасности в рамках SDLC (жизненного цикла разработки программного обеспечения). Внедрение методологии DevSecOps позволяет автоматизировать ключевые элементы контроля безопасности, интегрируя их непосредственно в процессы разработки. Для повышения устойчивости к атакам на цепочку поставок созданы собственные репозитории библиотек и компонентов, используемых при создании программных продуктов.

Система реагирования на киберинциденты

В Компании действует Центр мониторинга и реагирования на киберинциденты (далее — Центр), в котором используются передовые технические решения и лучшие практики управления процессами киберзащиты. Сотрудники постоянно повышают свои компетенции и подтверждают их в рамках участия в соревнованиях, устраиваемых партнерами. В 2024 году команда «Норникеля» показала высокие результаты и продемонстрировала уникальные компетенции в трех таких соревнованиях.

Для поддержания уровня осведомленности об актуальных угрозах ИБ сотрудники Центра осуществляют постоянный мониторинг событий информационной безопасности, а также на регулярной основе обмениваются информацией с коллегами из других компаний и партнерами по рынку. Это позволяет принимать упреждающие меры по блокировке действий злоумышленников.

Благодаря слаженной работе Компания, несмотря на значительно возросшее в 2024 году количество компьютерных атак, успешно отразила все попытки злоумышленников нанести ущерб инфраструктуре «Норникеля». За 2024 год сотрудниками Центра суммарно было отработано почти 20 тыс. событий информационной безопасности и около 1 тыс. киберинцидентов.

Сотрудники Компании также помогают выявлять потенциальные компьютерные инциденты. Любой сотрудник в случае обнаружения подозрительного контента или активности на корпоративных устройствах может направить эту информацию для проверки в функцию информационной безопасности. Специалисты проводят оценку возможного деструктивного влияния на информационные системы Компании и принимают меры, направленные на предотвращение и устранение последствий инцидентов. За год специалистами проведено около 6 тыс. проверок по обращениям сотрудников «Норникеля».

Требования к контрагентам

В 2024 году были выявлены факты компрометации информационной инфраструктуры ряда подрядных организаций, в результате чего были незамедлительно приняты меры по блокировке доступа подрядчиков к инфраструктуре «Норникеля» и предотвращены возможные негативные последствия.

В рамках последующей обработки сопутствующего риска Компания разработала раздел договора, устанавливающий требования в области ИБ и ответственность за их невыполнение для контрагентов, которые в рамках договоров получают доступ к информационным активам Компании. Указанный раздел уже в 2024 году включен в общие условия договоров.

С контрагентами, обладающими критическими правами в ИТ‑инфраструктуре Компании, в договор добавлен раздел «Требования информационной безопасности». Кроме этого, внесены изменения в типовое соглашение о конфиденциальности — добавлена обязанность контрагента обеспечить выполнение мер ИБ и предоставлять по запросу Компании сведения о выполнении таких мер.

В целях формирования целостного подхода к обработке рисков ИБ, связанных с третьими лицами, ведется разработка методики оценки контрагентов Компании на предмет достаточности мер обеспечения информационной безопасности, которая позволит реализовать дополнительную защиту корпоративных информационных активов.

Защита персональных данных

Для обработки риска недостаточной защиты персональных данных клиентов и сотрудников в Компании внедрен и применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных (далее — ПДн). Техническая защита ПДн обеспечивается средствами антивирусной защиты, предотвращения утечек, контроля отчуждаемых устройств, анализа событий безопасности и др.

В условиях ужесточения ответственности за нарушения в области обработки ПДн особое внимание в Компании уделяется обеспечению соответствия процессов обработки персональных данных требованиям законодательства. В 2024 году в соответствии с методиками, разработанными Департаментом защиты информации и ИТ‑инфраструктуры в течение 2024 года, осуществлены следующие работы:

• на восьми предприятиях процессы обработки ПДн приведены в соответствие с требованиями законодательства и локальными актами Компании;
• на 11 предприятиях проведена оценка соответствия сайтов требованиям законодательства в области обработки ПДн.

На регулярной основе проводится обучение сотрудников, в задачи которых входит обработка ПДн, с целью снижения рисков утечек.

Разработана методика бережливой обработки ПДн, направленная на снижение риска утечки ПДн путем минимизации обработки ПДн в рамках бизнес‑процессов.

Обучение и информирование

Компания уделяет большое внимание повышению осведомленности сотрудников о требованиях информационной безопасности и правилах цифровой гигиены. В 2024 году поставлена глобальная цель по повышению культуры информационной безопасности в рамках всей Группы.

Проводятся мероприятия по повышению вовлеченности в тематику ИБ всех категорий сотрудников Компании — от руководства до работников производства.

Тематика ИБ включена в массовые корпоративные мероприятия и стратегические сессии. Информирование сотрудников об угрозах ИБ и правилах цифровой гигиены осуществляется через внутренние каналы коммуникации: публикации на корпоративном портале, почтовые рассылки, корпоративный мессенджер, размещение информации на информационных досках, трансляция видеоматериалов на экранах в общих зонах.

На регулярной основе проводится обучение сотрудников по релевантным для них темам ИБ. Назначаются онлайн‑курсы, которые обновляются в ответ на изменяющийся ландшафт угроз и законодательства. В 2024 году было проведено 95 плановых и 19 внеплановых тренингов в формате электронных курсов и очных лекций. Обучение прошли 34,8 тыс. сотрудников Группы.

Для повышения бдительности сотрудников и отработки порядка действий в случае инцидентов ИБ регулярно проводятся учения, включающие в том числе имитацию фишинговых рассылок и иных актуальных способов незаконного воздействия на пользователей. По итогам учений актуализируются инструкции для сотрудников.

Особое внимание уделяется личной информационной безопасности сотрудников и членов их семей, разрабатываются и проводятся мероприятия для детей сотрудников Компании.

Партнерство

По инициативе «Норникеля» в 2017 году был создан клуб «Безопасность информации в промышленности» («БИП‑Клуб») — объединение руководителей по информационной безопасности крупнейших российских компаний, — который зарекомендовал себя как эффективная площадка для обмена опытом и лучшими практиками по защите информационных систем, а также для государственно‑частного диалога, в том числе по таким актуальным вопросам, как законодательное регулирование отрасли и импортозамещение в сфере ИБ.

В 2024 году «БИП‑Клуб» продолжил работу и впервые в рамках открытой встречи для рынка объединил на своей площадке одновременно компании‑вендоры, интеграторов, заказчиков, а также регуляторов рынка для диалога на тему подходов, требований и ожиданий от партнеров и перспектив эффективного сотрудничества в рамках программы импортозамещения.

«Норникель» стремится внести вклад в развитие рынка ИБ для промышленного сектора экономики. В частности, на площадке «БИП‑Клуба» «Норникель» предложил ИБ‑сообществу Кодекс этики для рынка информационной безопасности. Это набор принципов, которые помогут повысить зрелость рынка, сделать сотрудничество между заказчиком и подрядчиком более эффективным.

Объекты критической цифровой инфраструктуры все чаще становятся целью выверенных и сложных атак, происходящих во всех сферах экономики, в том числе в промышленности. В целях разработки и совершенствования решений для предотвращения утечек информации, контроля безопасности программного обеспечения и ограничения доступа к вредоносным информационным ресурсам в мае отчетного года было подписано соглашение о сотрудничестве «Норникеля» с ПАО «Ростелеком». В рамках этого соглашения компании планируют разработку и внедрение решений, направленных на повышение киберустойчивости горно‑металлургической отрасли.

Независимый аудит

Выбор независимой аудиторской организации для осуществления аудита финансовой отчетности «Норникеля» проводится на конкурсной основе в соответствии с действующим в Компании порядком. Комитет по аудиту при Совете директоров, рассмотрев результаты предварительного отбора, дает рекомендацию Совету директоров по кандидатуре аудитора для утверждения на годовом Общем собрании акционеров ПАО «ГМК «Норильский никель».

В 2024 году Общее собрание акционеров по рекомендации Совета директоров в качестве аудитора утвердило компанию АО «Кэпт» для проведения аудиторской проверки финансовой отчетности по РСБУ и МСФО за 2024 год.

Комитет по аудиту при Совете директоров при рассмотрении отчетов АО «Кэпт» зафиксировал отсутствие замечаний к отчетам аудитора.

Вознаграждение аудитора

Общая сумма вознаграждения АО «Кэпт» в 2024 году составила 280 млн руб. (3,0 млн долл. США) без НДС, включая вознаграждение за аудит и сопутствующие аудиту услуги, а также прочие услуги, связанные с аудиторской деятельностью. При этом доля вознаграждения за прочие услуги, связанные с аудиторской деятельностью, составила 36% от общей суммы вознаграждения.

Для предотвращения конфликта интересов в АО «Кэпт» действует определенная политика в отношении различных видов услуг, которые они оказывают аудируемым компаниям. Эта политика обеспечивает выполнение требований, установленных Комитетом по международным этическим стандартам для бухгалтеров (IESBA), российскими правилами независимости аудиторов и аудиторских организаций, а также иными применимыми требованиями.