Система контроля

ТМК является холдинговой компанией, что придает особую значимость и предъявляет повышенные требования к надежности и эффективности систем контроля: управления рисками (СУР), внутреннего контроля (СВК), комплаенс, информационной безопасности.

Системы контроля в ТМК формализованы и основаны на общепринятых международных стандартах, охватывают ключевые активы, бизнес-процессы и все уровни управления Компании.

Цель систем

Обеспечение для руководства Компании объективного представления:

  • о текущем состоянии и перспективах Компании в достижении поставленных целей;
  • об уровне принимаемых рисков;
  • о достоверности всех видов отчетности;
  • о соблюдении законодательства и внутрикорпоративных документов;
  • об эффективности и надежности СУР и СВК, процессов корпоративного управления;
  • об уровне информационной безопасности.

Принципы организации систем контроля определены Советом директоров и отражены в корпоративных политиках и внутренних документах ТМК

Контрольные процедуры интегрированы в бизнес-процессы подконтрольных организаций, структурных подразделений и выполняются непрерывно органами управления на всех уровнях и работниками ТМК в текущей деятельности.

В отчетном году произошли изменения в структуре контрольных органов: упразднена Ревизионная комиссия (17 июля 2020 года зарегистрирована новая редакция Устава ПАО «ТМК»).

Контроль за функционированием Системы осуществляется Советом директоров, в том числе через Комитет по аудиту.

Внутренний контроль

Регламентация

В Компании действует Положение о внутреннем контроле, определяющее цели, принципы функционирования и элементы СВК ТМК, основные функции и ответственность, порядок оценки эффективности СВК.

Организация

СВК представляет собой совокупность процессов внутреннего контроля на базе существующей организационной структуры, регламентирующих документов, процедур и методов внутреннего контроля, применяемых в Компании на всех уровнях управления и в рамках всех функциональных направлений.

СВК носит риск-ориентированный подход, помогая выявлять и анализировать риски, препятствующие достижению целей, а также способы управления рисками. СВК функционирует в соответствии с моделью «Трех линий подотчетности».

Оценка

По итогам 2020 года Внутренним аудитом Компании проведена и дана следующая оценка эффективности СВК: уровень зрелости СВК находится на формализованном (устоявшемся) уровне.

Планы

В 2021 году предусмотрена актуализация Положения о внутреннем контроле, предполагая акцент на развитии следующих компонентов: контрольная среда, мероприятия и методы контроля, коммуникация, автоматизация, мониторинг.

Система управления рисками. Эффективность в условиях пандемии

Система управления рисками (СУР) является многоуровневой иерархической системой, выстраиваемой на различных уровнях управления с учетом роли каждого уровня в процессе организации и обеспечения функционирования системы.

Цель системы

Выявление, оценка, управление и контроль возможных событий или ситуаций для обеспечения разумных гарантий достижения Компанией своих целей.

Регламентация

Оперативное управление рисками

Осуществляется Генеральным директором через Комитет по управлению рисками. Председатель Комитета периодически отчитывается перед Комитетом по аудиту о фактах реализации рисков.

Общую координацию процессов управления рисками и взаимодействие между подразделениями Компании обеспечивает специально созданное подразделение, задачи которого полностью соответствуют требованиям Кодекса корпоративного управления Российской Федерации.

Выбор метода реагирования на риски зависит от значимости рисков, воздействия вероятности и влияния рисков, затрат на реализацию и получаемых преимуществ.

В условиях пандемии риск-менеджментом Компании своевременно были разработаны и проведены следующие антикризисные мероприятия.

Антикризисные меры

  • Переоценка и приоритизация рисков
  • Разработка кризисного сценария
  • Анализ возможных методов реагирования
  • Мероприятия по минимизации вероятности наступления рисков
  • Корректировка карты рисков
  • Актуализация внутренней нормативной базы

В таблице ниже перечислены Ключевые риски по итогам 2020 года, связанные с деятельностью Компании, и указаны меры по их минимизации. Данную таблицу не следует рассматривать в качестве исчерпывающего перечня всех потенциально возможных рисков ТМК.

Риск Относительная степень влияния Факторы риска Меры по устранению риска
Снижение цен и спроса на различные виды трубной продукции Высокое Нефтегазовая отрасль является крупнейшим покупателем стальных труб в мире. Нефтегазовая промышленность характеризуется повышенной волатильностью, и спад в данной отрасли может оказать негативное воздействие на спрос на трубную продукцию, который в значительной степени зависит от количества разрабатываемых нефтяных и газовых скважин, их глубины и условий разработки, а также от строительства новых нефте- и газопроводов. Кроме того, волатильность цен на трубную продукцию в 2020 году связана с ухудшением экономической ситуации в мире, в том числе из-за ограничительных мер, связанных с пандемией COVID-19
  • Заключение долгосрочных контрактов
  • Повышение внутренней эффективности
  • Постоянный мониторинг текущей рыночной ситуации и своевременное перераспределение товарных потоков по регионам и клиентам
  • Расширение географии поставок
Рост закупочных цен на сырье Высокое По итогам 2020 года на рынке произошло существенное увеличение стоимости сырья, в частности металлолома. В будущем ожидается сохранение данной тенденции в связи с восстановлением деловой активности и со снятием коронавирусных ограничений в мире
  • Согласование с поставщиками формульной модели ценообразования
  • Оптимизация закупок сырья
  • Повышение эффективности использования сырья
  • Управление запасами
Правовые риски, связанные с возможными действиями органов государственной власти Низкое Неблагоприятное состояние мировой экономики после пандемии COVID-19 приводит к усилению протекционистских мер. В отношениях России и стран Евросоюза сохраняется политическая напряженность, что может привести к новым санкциям, способным повлиять на экспорт продукции
  • Мониторинг внутренних и внешних антимонопольных комплаенс-рисков
  • Анализ международных нормативных актов, регулирующих поставки трубной продукции и обеспечение соответствия ТМК данным требованиям
  • Осуществление контроля за заключением договоров и проверки контрагентов с использованием автоматизированных комплаенс-систем
  • Проведение обучающих мероприятий среди сотрудников Компании
Экологические риски Низкое Деятельность предприятий Группы «ТМК» должна соответствовать требованиям национального экологического законодательства стран, где расположены производственные мощности
  • В ТМК разработана и действует единая экологическая политика
  • Реализуются мероприятия в области охраны окружающей среды
  • В 2020 году в Компании была принята и исполняется новая стратегия, включающая в себя цели по устойчивому развитию: повышение уровня безопасности труда на производстве, защита окружающей среды, совершенствование корпоративного управления
Киберриски Низкое ТМК проводит масштабную цифровизацию различных направлений деятельности, а также увеличивает объем взаимодействия с клиентами и поставщиками через интернет. В 2020 году Компания столкнулась с необходимостью перевода значительной части сотрудников на удаленный режим работы в связи с пандемией COVID-19. Эти факторы способны привести к росту киберрисков
  • В ТМК действует Стратегия по обеспечению кибербезопасности
  • Реализуется комплекс мероприятий, включающий в себя модернизацию инфраструктуры, анализ защищенности ключевых информационных систем и ресурсов
  • Функционирует корпоративная система повышения осведомленности персонала в области информационной безопасности
Внутренний аудит

Цель

Содействие Совету директоров, Комитету по аудиту и исполнительным органам ТМК в повышении эффективности управления Группой «ТМК» путем объективной оценки эффективности системы внутреннего контроля, управления рисками и процессов корпоративного управления.

Регламентация

Политика Группы «ТМК» в области внутреннего аудита, Положение о Службе внутреннего аудита ПАО «ТМК», Программа обеспечения и повышения качества внутреннего аудита (обновлена 22 мая 2020 года).

Организация

Служба внутреннего аудита (СВА) является самостоятельным структурным подразделением, административно подчиняется непосредственно Генеральному директору ПАО «ТМК», функционально – Совету директоров (Комитету по аудиту), что обеспечивает независимость и объективность внутреннего аудита.

Вызовы 2020 года

Сложные условия деятельности отчетного года потребовали от внутреннего аудита нестандартных решений, пересмотра стратегий, новых взглядов, скорости в проведении аудиторских процедур с целью предоставления оперативных независимых и объективных гарантий и консультаций для органов управления, направленных на принятие упреждающих адекватных мер.

Новый вызов стимулировал диагностику бизнес-процессов по всем направлениям, акцент на ключевые и реализуемые риски, пересмотр планов и подходов к аудиторским проверкам в условиях дистанционного режима.

Внутренний аудит справился с возникшими трудностями и поставленными задачами, выполнив 20 аудиторских проектов, которые охватили 32% Карты рисков Компании, из них 50% — ключевые риски (Отчет СВА представлен на Совете директоров 17 декабря 2020 года).

Карта рисков

Оценка качества внутреннего аудита

В соответствии с Программой обеспечения и повышения качества внутреннего аудита в Группе «ТМК» (утверждена Приказом ТМК № 216 от 22 мая 2020 года) ежегодно проводится внутренняя оценка (самооценка, оценка менеджментом ТМК и Советом директоров) полезности и качества работы СВА.

Планы

Совершенствование систем контроля в бизнес-процессах Компании на основе сотрудничества и взаимодействия подразделений внутреннего аудита и бизнеса, обеспечивающее своевременное реагирование на проблемные зоны в достижении стратегических целей.

Система внутреннего контроля за составлением финансовой отчетности

Объект контроля

Процедуры подготовки отчетности на уровне отдельных подконтрольных организаций и на уровне консолидированной финансовой отчетности ПАО «ТМК».

Цели

  • Соблюдение учетной политики по национальным и международным стандартам финансовой отчетности (РСБУ и МСФО)
  • Обеспечение точности и полноты бухгалтерских записей, своевременное выявление ошибок
  • Обеспечение достоверности финансовой отчетности
  • Соответствие финансовой отчетности законодательству, требованиям национальных и международных стандартов
  • Своевременная подготовка финансовой отчетности

Квалификация

Все работники подразделений, занятые подготовкой отчетности, имеют бухгалтерское или финансовое образование и регулярно повышают свою квалификацию. Главный бухгалтер ПАО «ТМК» и руководитель департамента, осуществляющего подготовку консолидированной финансовой отчетности по МСФО, являются членами Ассоциации дипломированных сертифицированных бухгалтеров (ACCA).

Цифровизация

Процесс подготовки консолидированной финансовой отчетности в Компании автоматизирован на уровне современных стандартов, что обеспечивает его эффективность. Благодаря высокому уровню цифровизации процессов, несмотря на перевод ряда сотрудников на работу в дистанционном режиме в связи со вспышкой инфекции COVID-19, подготовка консолидированной финансовой отчетности осуществлялась в штатном порядке в установленные сроки.

Принципы

Централизованный процесс формирования учетных политик.

Оценка

Комитет по аудиту рассмотрел в отчетном году вопросы оценки системы внутренних контролей и обеспечения минимизации рисков при формировании бухгалтерской и управленческой отчетности и представил соответствующие рекомендации Совету директоров.

Внешний аудитор

Для независимой оценки достоверности бухгалтерской (финансовой) отчетности, подготовленной в соответствии со стандартами РСБУ и МСФО, Компания ежегодно привлекает внешнего аудитора.

Цель

Подтверждение достоверности финансовой (бухгалтерской) отчетности Компании, подготовленной в соответствии с национальными и международными стандартами финансовой отчетности (РСБУ и МСФО).

Регламентация

Кандидатура аудитора для проведения независимой проверки отчетности по российским стандартам выдвигается Советом директоров и утверждается Общим собранием акционеров ПАО «ТМК».

Контроль

Комитет по аудиту оценивает независимость, объективность и отсутствие конфликта интересов внешних аудиторов, осуществляет надзор за проведением внешнего аудита и рассматривает заключение внешнего аудитора.

Независимость и объективность кандидатуры внешнего аудитора обеспечивается за счет следующих процедур:

  • проводится тендер по выбору аудитора Группы «ТМК». Комитет по аудиту утверждает условия тендера, организует проведение тендера и подводит его итоги;
  • Комитет по аудиту имеет право поставить вопрос о досрочном проведении тендера (в том числе по результатам анализа качества аудиторских услуг и соблюдения требования независимости);
  • аудитор избирается из числа международно-признанных независимых аудиторских компаний, его кандидатура одобряется Советом директоров.

С целью снижения влияния фактора длительности взаимоотношений с внешним аудитором на его независимость и объективность применяется планомерная ротация членов аудиторских проверок и ведущего партнера, ответственного за аудит.

Внешним независимым аудитором отдельной и консолидированной бухгалтерской (финансовой) отчетности ПАО «ТМК» за 2020 год и промежуточные периоды 2020 года утверждено ООО «Эрнст энд Янг», являющееся членом Саморегулируемой организации аудиторов Ассоциация «Содружество» (СРО ААС).

Вознаграждение аудитора за проведение аудита годовой отчетности и промежуточный обзор (включая аудит локальных отчетностей отдельных предприятий ТМК) за 2020 год ставило 105,0 млн руб., за сопутствующие аудиту услуги – 15,4 млн руб., за неаудиторские услуги – 1,8 млн руб.

Доля вознаграждения за неаудиторские услуги в общем объеме вознаграждения внешнего аудитора
Система комплаенс

Законность

Кодекс Этики Группы «ТМК»

Основополагающим элементом деятельности Компании является неукоснительное соблюдение применимого законодательства, Устава и внутренних документов Компании (в том числе настоящего Кодекса), а также обычаев делового оборота. От соблюдения этого правила зависит как имидж и деловая репутация Компании, так и репутация всех и каждого из ее сотрудников.

УТВЕРЖДЕН Генеральным директором ПАО «ТМК», Приказ № 65 от 26 февраля 2019 года. ОДОБРЕН Советом директоров ПАО «ТМК», Протокол № 16 от 8 февраля 2019 года.

В ТМК действует четкая и независимая комплаенс-система, предусматривающая соблюдение правовых и этических норм. Данная система увязывает между собой профилактику нарушений, их обнаружение и применение санкций. Координацию осуществляют действующий при Генеральном директоре Комитет по регулированию комплаенс-рисков и его региональные подкомитеты, которые работают во всех дивизионах и на предприятиях Группы «ТМК» на основе единого плана.

Схема организации системы комплаенс

Регламентация и стандарты

На корпоративном сайте ПАО «ТМК» на верхнем уровне навигационных опций помещен раздел «Комплаенс», в котором содержится пакет документов, регламентирующих комплаенс-функцию Компании.

В своей деятельности ПАО «ТМК» следует передовым стандартам по противодействию коррупции:

  • Методические рекомендации по разработке и принятию организациями мер по предупреждению и противодействию коррупции, разработанные Министерством труда и социальной защиты Российской Федерации;
  • Transparency Internationals Business Principles for Countering Bribery (Деловые принципы Неправительственной международной организации по борьбе с коррупцией);
  • Global Reporting Initiative (Глобальная инициатива по отчетноси).
Book

Противодействие коррупции и мошенничеству

Цель

Создание в Компании атмосферы категорической нетерпимости к коррупционным правонарушениям.

Любой сотрудник Компании в любое время суток с доступного ему телефона или через интернет может и должен проинформировать Компанию о вышеуказанных фактах следующими способами:

  • по телефону доверия: 8 (800) 700-80-72 (вы можете позвонить в любое время суток, бесплатно, из любой точки страны);
  • по электронной почте: 8072@tmk-group.com (вы можете отправить сообщение с любого электронного почтового ящика);
  • по почте на адрес: 101000, г. Москва, ул. Покровка, д. 40, стр. 2а, горячая линия.

В отчетном году в ТМК реализовывалась Программа мероприятий на 2020 год по повышению уровня системы антикоррупционной защиты Группы «ТМК», принятая в соответствии с поручением Совета директоров ПАО «ТМК» (Протокол № 5 от 19 сентября 2019 года).

Проверка контрагентов и контроль сделок

На постоянной основе осуществляется контроль сделок на наличие конфликта интересов в цепочке собственников контрагентов, помимо этого – включение в договоры антикоррупционной оговорки и прочих обязательных условий, параллельно производится оценка всех контрагентов ТМК на наличие санкционных рисков с использованием программы X-COMPLIANCE.

В 2020 году:

2 282 сообщения по горячей линии
34 учебных мероприятия
2 078 сотрудников прошли обучение по тематике комплаенс

Управление возможным конфликтом интересов

Цель

Выявление, регулирование и предотвращение конфликта интересов в деятельности работников Компании и возможных негативных последствий конфликта интересов для самой Компании.

Регламентация

Корпоративный стандарт Группы «ТМК» – Положение о конфликте интересов – утвержден и введен в действие приказом Генерального директора ПАО «ТМК» № 182 от 13 мая 2019 года.

Положением определены основные принципы, порядок выявления, предотвращения и урегулирования конфликта интересов. Соблюдение Положения является обязанностью любого сотрудника Компании независимо от его должностного положения.

При приеме на работу все сотрудники знакомятся с данным Положением, заполняют и подписывают форму по раскрытию сведений о конфликте интересов.

Правовые нормы, направленные на предотвращение и урегулирование конфликтов интересов, нашли отражение в Уставе ПАО «ТМК», Положении о Совете директоров, Положении о Правлении, Кодексе этики, Кодексе корпоративного управления, а также в иных регламентирующих документах, регулирующих закупочную деятельность и другие бизнес-процессы.

Ожидания

Разумные и добросовестные действия членов органов управления Компании предполагают принятие решений с учетом всей имеющейся информации в отсутствие конфликта интересов с учетом равного отношения к акционерам Компании в рамках обычного уровня риска.

Отчет по предотвращению конфликта интересов в 2020 году
Параметры Статус соответствия
Уровень акционеров Компании
  • Соблюдение порядка и процедуры принятия решений по наиболее существенным вопросам.
  • Соблюдается.
  • Соблюдение процедур голосования по сделкам, являющимся сделками с заинтересованностью, и раскрытие информации о сделках.
  • Соблюдается. Сделки раскрываются в форме существенных фактов, в ежеквартальных отчетах Эмитента и в настоящем Годовом отчете.
  • Информационная открытость при подготовке и проведении собраний акционеров, заблаговременное раскрытие информации о повестках заседаний Советов директоров, а также о принятых решениях.
  • Привлечение в качестве внешних аудиторов компаний «большой четверки».
  • Соблюдается. Аудитор: ООО Эрнст энд Янг.
  • Организация механизмов защиты от размывания стоимости Компании.
  • Соблюдается. Корпоративными стандартами определены открытые формы проведения процедур конкурентного отбора контрагентов по закупкам.
Уровень Совета директоров
  • Член Совета директоров обязан воздерживаться от действий, которые приведут или потенциально способны привести к возникновению конфликта между его интересами и интересами Общества, а в случае возникновения такого конфликта своевременно раскрывать соответствующую информацию Обществу:
  • Соблюдается. Конфликтов не выявлено.
  • Уведомлять Совет директоров о владении ценными бумагами Общества и совершенных с ними сделках, о доле своего участия в подконтрольных организациях, о предполагаемых сделках, в отношении которых член Совета директоров может быть признан заинтересованным; при этом незамедлительно должны быть раскрыты сам факт такой заинтересованности и основания ее возникновения.
  • Соблюдается.
  • Уведомлять Общество о своем намерении войти в состав органов управления других организаций (помимо подконтрольных организаций), а также о факте такого избрания (назначения).
  • Соблюдается.
Уровень работников ПАО «ТМК»
  • Сотрудники обязаны сообщать сведения о наличии/отсутствии конфликта интересов между сотрудником или его близкими родственниками и Компанией в Комитет (подкомитет) по регулированию комплаенс-рисков в письменной форме.
  • В 2020 году на заседаниях подкомитетов было рассмотрено 12 случаев потенциального конфликта интересов (восемь из них подтвердилось).
  • Защита сотрудника от преследования в связи с сообщением о конфликте интересов, который был своевременно раскрыт сотрудником и урегулирован (предотвращен) Компанией.
  • Соблюдается. Созданы механизмы защиты, случаев преследования не выявлено.

По мере возникновения конфликта интересов каждая ситуация подлежит рассмотрению и урегулированию.

Специально уполномоченным органом Компании по предотвращению и урегулированию конфликта интересов является Комитет по регулированию комплаенс-рисков ПАО «ТМК».

Обратная связь

В качестве инструмента общественного контроля в ТМК используется информационная система «Горячая линия» (телефон доверия и электронная почта 8072@tmk-group.com), по которой сотрудники Компании, инвесторы, клиенты и другие заинтересованные стороны могут сообщать об известных им фактах злоупотреблений или нарушениях. За 2020 год поступило 1 138 сообщений по телефону доверия (больше на 32%, чем в 2019 году), по электронной почте получено 1 144 сообщения (рост составил почти 34% по сравнению с 2019 годом). По итогам их рассмотрения по подтвердившимся фактам приняты необходимые кадровые и управленческие решения.

Защита лиц, уведомляющих о подозрениях в совершении неправомерных действий

Для обеспечения анонимности адресатов вся поступающая информация попадает в специальную группу уполномоченных лиц, состоящую из трех членов Комитета по регулированию комплаенс-рисков, которые имеют соответствующие обязательства по неразглашению.

Обучение

Комитетом по регулированию комплаенс-рисков организованы обучающие семинары с топ-менеджерами и членами Совета директоров, а также плановые занятия с сотрудниками предприятий Группы «ТМК».

Девять сотрудников предприятий Группы «ТМК» прошли обучение по программе ICA, сдали экзамены и получили международные сертификаты по основам комплаенс. Начальник Управления по комплаенс-рискам имеет профессиональный международный диплом в области комплаенс и является Почетным членом Международной комплаенс ассоциации (ICA).

В течение 2020 года в Компании проведено 34 учебных мероприятия (с учетом ограничений в связи с пандемией COVID-19) по вопросам выявления, оценки и управления комплаенс-рисками. Обучением было охвачено 1 828 человек.

Помимо этого, 250 человек прошли обучение в рамках дистанционного курса на платформе ТМК2U по программе «Управление комплаенс-рисками». В декабре 2020 года на этой платформе был запущен интерактивный курс «Кодекс этики ПАО «ТМК». На производстве». В разработке находятся проекты «Кодекс этики ПАО «ТМК». Офис», «Санкционный комплаенс», «Конфликт интересов».

KU_Obuch

Цифровизация

В условиях перехода части сотрудников на удаленную работу внедрен новый инструмент информирования по вопросам безопасности – через мобильное приложение Компании Mobi2U.

Телефон

Каждый сотрудник Компании со своего мобильного телефона может узнавать новости о фактах работы системы безопасности предприятий ТМК в регулярной рубрике «Начеку!», а также активно участвовать через приложение в защите корпоративной собственности, этических норм и ценностей.

Телефон

Общественная деятельность

ПАО «ТМК» является членом Международной комплаенс ассоциации (ICA).

icassoci

Входит в состав членов Российского союза промышленников и предпринимателей (РСПП), подписавших Антикоррупционную хартию российского бизнеса.

Регулярно участвует во Всероссийской интерактивной акции по борьбе с коррупцией при Торгово-промышленной палате Российской Федерации.

Оценка

Отчет о проводимой в Компании антикоррупционной работе в 2020 году обсуждался на заседании Комитета по аудиту Совета директоров (протокол от 16 декабря 2020 года), на котором дана положительная оценка организации антикоррупционной работы в Группе «ТМК».

Планы

  • В соответствии с Программой мероприятий по повышению уровня системы антикоррупционной защиты Группы «ТМК» в 2021 году планируется прохождение процедуры сертификационного аудита по международным стандартам ISO 19600 «Система комплаенс-менеджмента» и ISO 37001 «Система менеджмента противодействия коррупции».
  • Запуск дистанционных курсов «Кодекс этики ПАО «ТМК». Офис», «Санкционный комплаенс», «Конфликт интересов».
Информационная безопасность

Цель

Обеспечение сохранности коммерчески значимой конфиденциальной информации, инсайдерской информации и персональных данных сотрудников, акционеров и партнеров.

Регламентация

Стратегия обеспечения и развития кибербезопасности – 2022, Политика информационной безопасности российских предприятий Группы «ТМК», среднесрочная программа мероприятий в области защиты ИТ-инфраструктуры.

Организационная структура

Заместитель Генерального директора по безопасности, Дирекция информационных технологий ПАО «ТМК», Служба экономической безопасности ПАО «ТМК», Управление средств защиты ИТ-инфраструктуры ПАО «ТМК», соответствующие отделы и бюро по кибербезопасности на предприятиях Группы «ТМК».

Следуя современным реалиям ведения бизнеса, работая на опережение, ТМК интенсивно повышает уровень автоматизации/цифровизации операционных бизнес-процессов, подавляющее большинство которых реализуются в ИТ-системах, что существенно повышает требования к кибербезопасности.

Реализация Стратегии обеспечения и развития кибербезопасности 2019–2022 годов в отчетном году

Запланированные Стратегией на 2020 год проекты, как показали события, были определены стратегически своевременно, обоснованно и реализованы в полной мере. Это позволило ТМК оказаться в числе наиболее технологически продвинутых компаний в нестандартных условиях ведения бизнеса.

Реализованные в 2020 году проекты по ИТ-безопасности

С учетом всех требований Корпоративного стандарта по информационной безопасности в начале 2020 года был реализован переход на гибридную ИТ-инфраструктуру: создан облачный виртуальный центр обработки данных (ЦОД ТМК), полностью интегрированный с корпоративной инфраструктурой.

  • ТМК одной из первых компаний в России начала процесс перевода своих сотрудников на дистанционную работу. ИТ-команда Компании смогла организовать гибкое облачное решение, которое позволило переводить сотрудников на дистанционную работу практически без прерывания бизнес-процессов и без дополнительных капитальных затрат. Всего за время пандемии на дистанционный режим было переведено до 9 тыс. сотрудников ТМК (около 20% всего персонала Компании).
  • В 2020 году создан и запущен Ситуационный центр кибербезопасности (Security Operations Center, SOC) ТМК. К центру подключены основные площадки Российского дивизиона, в том числе исполнительный аппарат и основные центры обработки данных. На его базе реализуются единые процессы мониторинга и реагирования на инциденты информационной безопасности в контуре предприятий Группы «ТМК», а также взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Компания уже ощутила конкретную пользу от данных мер во время роста количества атак в период карантинных мер, связанных с противодействием COVID-19.
  • Внедрена корпоративная система повышения осведомленности персонала в области информационной безопасности (так называемый security awareness). Это целый комплекс мер по повышению уровня цифровой гигиены: интерактивные курсы и тренинги по противодействию фишингу и методам социальной инженерии на базе Корпоративного университета ТМК2U, регулярные рассылки информационных материалов и пр.
Устойчивость системы ИТ-безопасности, риски, развитие

Условия, в которых пришлось работать ТМК в 2020 году, можно назвать тестированием информационных систем и систем их безопасности в реальной бизнес-среде. Системы подтвердили свою устойчивость. В рамках корпоративной системы управления рисками своевременно выявлялись риски кибербезопасности и осуществлялось оперативное реагирование, а также разработка мер по минимизации ключевых рисков и их возможных последствий в будущем.

Основные ИТ-риски

  • Потеря управляемости информационными системами бизнес-процессов Компании в связи с несанкционированным проникновением в корпоративную сеть (т. е. хакерские атаки).
  • Нарушение работоспособности бизнес-систем (business continuous).
  • Потеря контроля над источниками информации, утечка информации через информационные системы.

Планы

  • Обеспечение ИТ-безопасности проектов цифровой трансформации ТМК.
  • Оценка уровня зрелости кибербезопасности в Российском дивизионе ТМК: разработка методики, проведение оценки, выработка мер и решений на основании оценки. Реализация этих мер значительно повысит эффективность процессов информационной безопасности.
  • Переход от аудитов и подготовительных работ к стадии активной реализации мер и внедрения систем обеспечения безопасности значимых объектов (в целях исполнения требований Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). Внедрение систем запланировано на 2021–2022 годы.
  • Проведение корпоративных киберучений.
p113