Протокол 42018 от 21. 12. 2018 руководство по управлению рисками 2018
Скачать 1.2 Mb.
|
РАЗДЕЛ 5. Методы определения ограничений рисков (определение риск – аппетита организации ) В целях определения ограничений рисков можно выделить качественные и количественные методы. Организацией могут определяться ограничения рисков, как по каждому виду риска, так и по совокупному риску (риск – аппетит). Наиболее информативным является количественный метод определения ограничений рисков (в денежном эквиваленте), однако его применение возможно только в том случае, если есть возможность оценить финансовый ущерб от реализации рисков, в том числе потенциальный. Нефинансовые риски, включающие операционные риски, как правило, невозможно свести к величине денежного эквивалента. Поэтому в случаях, когда оценить финансовый ущерб не представляется возможным, применяется качественный метод определения ограничений рисков. Риск – аппетит организации также может быть определен как в денежном эквиваленте (например, в процентном отношении от размера собственных средств, в процентном отношении от размера прибыли или иного финансового показателя), так и в форме балльной оценки либо иным способом, принятым в организации. При этом сведение воедино ограничений финансовых и нефинансовых рисков может проводиться, в том числе следующим образом: 1. приведение нефинансовых рисков к денежному эквиваленту; 2. приведение денежного эквивалента оценки финансового риска к балльным эквивалентам. Пример определения риск – аппетита в балльном эквиваленте приведен в Приложении 6. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 13 РАЗДЕЛ 6. Проведение самооценки Основными целями самооценки являются: Идентификация основных операционных рисков, характерных для финансовых услуг, бизнес - процессов и систем, относящихся к основной деятельности организации; Выполнение оценки в рамках операционных рисков для каждого из выявленных рисков; Выявление отсутствующих, несовершенных либо устаревших процедур контроля в разрезе бизнес - процессов структурных подразделений и разработка плана корректирующих мероприятий по ограничению/снижению выявленных операционных рисков; Формирование инструментов управления операционными рисками. Подготовка к проведению самооценки может состоять из следующих шагов: Разработка форм документов для проведения самооценки; Определение уполномоченных сотрудников структурных подразделений, ответственных за проведение самооценки (далее – ответственные сотрудники); Разработка порядка взаимодействия структурных подразделений с должностным лицом/структурным подразделением, ответственным за организацию системы управления рисками, в процессе проведения самооценки; Консультация ответственных сотрудников и/или руководителей структурных подразделений, которые могут быть определены в качестве лиц, ответственных за проведение самооценки в рамках подчиненного подразделения. Объектами самооценки являются операционные риски, применяемые в отношении них контрольные процедуры и ограничения операционных рисков (ключевые индикаторы риска) (при необходимости). В процессе проведения самооценки могут участвовать: должностное лицо/структурное подразделение, ответственное за организацию системы управления рисками; руководители и ответственные сотрудники структурных подразделений, иные сотрудники организации. Роль должностного лица/структурного подразделения, ответственного за организацию системы управления рисками, в процессе проведения самооценки может состоять в следующем: Разработка методологии (порядка) проведения самооценки; Разработка структуры и формы Анкеты для проведения самооценки (далее – Анкета)/иного документа, применяемого в организации в целях проведения самооценки; Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 14 Определение сроков проведения самооценки и перечня структурных подразделений, в которых планируется проведение самооценки; Подготовка перечня ответственных сотрудников структурных подразделений; Консультирование ответственных сотрудников по вопросам заполнения Анкеты/иного документа, применяемого в организации в целях проведения самооценки; Анализ агрегированных результатов самооценок структурных подразделений организации и разработка рекомендаций по операционным рискам по итогам самооценки; Подготовка соответствующей отчетности по проведению самооценки; Информирование заинтересованных подразделений о результатах самооценки; Иное. Роль руководителя структурного подразделения в процессе проведения самооценки может состоять в следующем: Определение ответственного сотрудника структурного подразделения, либо самостоятельное исполнение функций данного сотрудника; Визирование/подписание Анкеты либо иного документа подразделения, формируемого по итогам проведения самооценки; Иное. Роль ответственного сотрудника структурного подразделения в процессе проведения самооценки может состоять в следующем: Заполнение форм документов по проведению самооценки; Отправка заполненных Анкет(Анкеты подразделения)/иного документа, предназначенного для целей проведения самооценки, должностному лицу/структурному подразделению, ответственному за организацию системы управления рисками, в установленные сроки; Разработка планов мероприятий по ограничению/снижению операционных рисков; Контроль за исполнением в подразделении мероприятий по ограничению/снижению операционных рисков. Иное. Если ответственный сотрудник в структурном подразделении не определен, то его функции выполняет руководитель соответствующего структурного подразделения. В Приложении 7_приведен пример порядка проведения самооценки организации. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 15 РАЗДЕЛ 7. Способы оценки эффективности системы управления рисками Проведение оценки системы управления рисками для целей ее совершенствования обязательно для профессионального участника рынка ценных бумаг. Периодичность такой оценки, а также критерии оценки нормативными актами Банка России не регламентируются. Хорошей практикой считается ежегодная оценка системы управления рисками функцией внутреннего/внешнего аудита, а также периодическая оценка системы управления рисками с привлечением внешних экспертов (например, один раз в три года). Среди способов оценки эффективности системы управления рисками организацией может применяться один или в комплексе несколько из нижеперечисленных способов: Оценка соответствия системы управления рисками принципам и компонентам COSO ERM. Оценка эффективности системы управления рисками на основе показателей системы управления рисками, разработанных организацией. Оценка эффективности посредством анализа результативности деятельности по выявлению нарушений ограничений рисков и их устранению. Оценка эффективности управления путем сопоставления выявленных рисков с установленными допустимыми уровнями рисков или по установленным организацией простым критериям эффективности, например, по количеству в течение года однотипных ошибок сотрудников организации – реализовавшихся рисков. Оценка эффективности системы управления рисками, включая такие элементы как оценка затрат на финансирование системы управления рисками; фактических убытков от реализации рисков и возможных потенциальных убытков. Оценка эффективности системы управления рисками, построенная на анализе NPV (чистая приведенная стоимость), учитывая ее изменение в зависимости от функционирования системы управления рисками (эффективность внедрения системы управления рисками определяется как разница между NPV, рассчитанной с учетом и без учета функционирования системы управления рисками). Иные способы. Оценка эффективности управления рисками посредством анализа результативности деятельности по выявлению нарушений ограничений рисков и их устранению В рамках данного метода организация: Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 16 сопоставляет выявленные риски с установленными предельными размерами рисков (допустимыми уровнями по видам рисков); анализирует перечень мероприятий по снижению рисков или их исключению на предмет его достаточности; анализируется исполнение мероприятий по снижению рисков или их исключению. Организацией может быть установлено как предельное значение отклонения от допустимых уровней по каждому виду риска, так и предельное значение отклонения от установленного риск – аппетита. Также оценивается уровень исполнения перечня мероприятий по снижению рисков или их исключению. По итогам проведенной оценки дается заключение об эффективности управления рисками. Оценка соответствия системы управления рисками принципам и компонентам COSO ERM Методологической основой данного метода оценки управления рисками, является методология COSO ЕRМ – «Управление рисками организации – интегрированная модель», позволяющая выявить проблемные блоки, устранить некорректные процедуры, получить достаточно полную характеристику системы управления рисками. В качестве критерия эффективности используют соответствие основных элементов систем управления рисками «лучшей практике». В соответствии с предлагаемой методологией эффективность процесса управления рисками является предметом субъективного суждения, которое формируется в результате оценки наличия и функционирования восьми компонентов управления рисками: • внутренняя среда; • постановка целей; • определение событий; • оценка рисков; • реагирование на риски; • средства контроля; • информация и коммуникация; • мониторинг. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 17 Необходимо, чтобы все компоненты присутствовали и эффективно функционировали, а риск должен находиться в рамках риск-аппетита, принятого организацией для достижения своих целей, выполнения миссии или реализации стратегии. Все восемь компонентов процесса управления рисками не могут функционировать одинаково в каждой организации. Их применение в небольших организациях, например, может быть менее формализовано и менее структурировано. В то же время, даже небольшие организации могут иметь эффективную систему управления рисками только в том случае, если каждый из компонентов в ней присутствует и должным образом функционирует. Для более детальной оценки эффективности управления рисками для каждого компонента определяются соответствующие ему принципы. При этом оценка уровня реализации каждого принципа управления рисками осуществляется по формуле: Уровень реализации принципа = Уровень значимости*Коэффициент реализации Уровень значимости принципа (в целях проведения оценки эффективности системы управления рисками) задается экспертным путем/определяется высшим руководством. Уровни значимости принципов управления рисками определяются таким образом, чтобы суммарная значимость всех принципов была равна 1. Суммирование значимостей принципов, реализуемых в рамках конкретного компонента, определяет значимость компонента с точки зрения организации. Заключение об отсутствии значимости принципа (уровень значимости равен 0), в случае, если оно делается организацией, должно подкрепляться логическим обоснованием, показывающим, каким образом в отсутствие принципа связанный с ним компонент управления рисками может иметься в наличии и работать. Величина коэффициент реализации принципазависит от наличия/отсутствия выявленных в ходе проведения оценки существенных недостатков системы управления рисками при реализации соответствующего принципа. Шкала значений коэффициентов устанавливается организацией. На основании суммарного уровня реализации принципов в рамках отдельного компонента делается вывод о степени влияния конкретного компонента на эффективность системы управления рисками. Если суммарный уровень реализации принципов, относящихся к конкретному компоненту, меньше половины уровня значимости компонента, то уровень его реализации признается Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 18 недостаточно обеспечивающим эффективность системы управления рисками, а если равен и больше половины, но меньше максимального значения – не полностью обеспечивающим эффективность системы управления рисками. Покомпонентная сумма показателей реализации принципов позволяет оценить эффективность системы управления рисками организации по шкале, установленной организацией. При этом рекомендуется принимать во внимание сам факт наличия существенных недостатков системы управления рисками, которыепроявляются в рамках покомпонентной оценки реализации принципов. Существенные недостатки управления рисками в соответствии с настоящей методикой оценки эффективности имеют место, когда принципы управления рисками не определены (не описаны во внутренних документах компании), и (или) определены, но не внедрены, и (или) определены и внедрены, но не выполняются, и (или) эти принципы не работают все вместе. Существенные недостатки в реализации соответствующего принципа не могут быть компенсированы наличием, приемлемым уровнем или функционированием других принципов. В Приложении 8 приведен пример оценки соответствия системы управления рисками принципам и компонентам COSO ERM. Оценка эффективности системы управления рисками на основе показателей системы управления рисками В рамках данного способа оценки эффективности системы управления рисками определяются: показатели системы управления рисками, на основании которых определяется ее эффективность; механизм сбора данных, позволяющих оценить уровень достижения результатов/показателей по системе управления рисками; порядок анализа показателей системы управления рисками и применение результатов указанного анализа. Значение каждого показателя в целях оценки эффективности системы управления рисками рассчитывается по формуле: Значение показателя = Уровень значимости показателя*Коэффициент реализации Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 19 Уровень значимости показателя задается экспертным путем таким образом, чтобы суммарная значимость всех показателей была равна 1. Величина коэффициента реализации показателя зависит от наличия/отсутствия выявленных в ходе оценки недостатков системы управления рисками. Шкала значений коэффициентов реализации устанавливается организацией. Сумма значений всех показателей позволяет оценить эффективность системы управления рисками по шкале, определенной в организации. Рассмотрение результатов оценки эффективности управления рисками и действия, предпринимаемые для устранения выявленных недостатков По итогам оценки эффективности даются рекомендации по развитию системы управления рисками, устранению нарушений и т.д. Результаты оценки эффективности системы управления рисками (отчет) предоставляются высшему руководству организации в установленные внутренними документами сроки и порядке для принятия соответствующих решений. Поручения высшего руководства по итогам рассмотрения результатов проведенной оценки доводятся до сведения должностных лиц, ответственных за функционирование бизнес – процессов, руководителей подразделений внутреннего контроля и управления рисками в порядке и сроки, определенные внутренними документами организации. Исполнительному органу организации необходимо организовать разработку и утвердить план мероприятий по устранению замечаний, сформулированных по результатам оценки с учетом содержащихся в ней рекомендаций, с указанием ответственных должностных лиц организации и сроков устранения замечаний. Реализация исполнения плана мероприятий по учету результатов оценки эффективности системы управления рисками может состоять из следующих процедур: − направление информации о нарушениях/недостатках, выявленных по результатам оценки руководителям подразделений/должностным лицам организации, ответственным за принятие мер по устранению выявленных недостатков; − осуществление обратной связи с руководителями подразделений/должностными лицами организации по ходу исполнения плана мероприятий, внесение при необходимости уточнений в указанный план; Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 20 − получение от руководителей структурных подразделений/должностных лиц сведений об устранении выявленных в ходе оценки недостатков; − контроль устранения выявленных нарушений/недостатков (в случае необходимости). С учетом анализа всех показателей системы управления рисками органами управления принимается решение о формировании бюджета (увеличение/уменьшение) на следующий период. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 21 РАЗДЕЛ 8. Обмен информацией о рисках. Отчетность по системе управления рисками Организация в рамках обмена информацией о рисках обеспечивает выполнение следующих мероприятий: обмен информацией о рисках между сотрудниками структурных подразделений, их руководителями, Должностным лицом, ответственным за организацию системы управления рисками, и руководством организации, в том числе доведение Плана мероприятий по снижению рисков и информации о его реализации, а также информации об ограничениях рисков и нарушениях ограничений рисков до сведения руководства организации; составление и представление на рассмотрение руководству организации отчетов о результатах осуществления в рамках организации системы управления рисками процессов и мероприятий в целях обеспечения эффективности функционирования системы управления рисками, принятия решений по вопросам развития (совершенствования) системы управления рисками. Отчетность, формируемая в рамках управления рисками, предназначена для полноценного и прозрачного обмена информацией и отчетными материалами между всеми участниками системы управления рисками, а также для информирования о рисках в установленном формате должностных лиц, принимающих управленческие решения, и направлена на достижение конечных целей и задач управления рисками организации. В формировании внутренних отчетных документов и обмене информацией в рамках документооборота, действующего у организации по системе управления рисками, могут принимать участие все сотрудники организации в целях обеспечения реализации систематического, квалифицированного и качественного контроля за достижением целей и задач системы управления рисками, обеспечения непрерывности контроля динамики изменения показателей, характеризующих риски организации, контроля выполнения Плана мероприятий, оценки эффективности системы управления рисками. В Приложении 9 приведен пример состава отчетности и иных внутренних документов организации в рамках системы управления рисками. В Приложении 10 приведен пример Реестра рисков организации. |