Протокол 42018 от 21. 12. 2018 руководство по управлению рисками 2018

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
34
В Таблице 2 приведена Матрица рисков организации.
Таблица 2
Матрица рисков
Раз
ме
р
п
оте
н
ц
и
альн
ог
о ущ
ер
ба
К
ри
ти
че
ск
и
й
5
В
ы
со
к
и
й
4
С
ре
дн
и
й
3
Ни
зк
и
й
2
Незн
ач
и
те
л
ьн
ы
й
1
очень
низкая
вероятность
1
низкая
вероятность
2
средняя
вероятность
3
высокая
вероятность
4
очень высокая
вероятность
5
Вероятность
В рамках экспертной оценки кредитного риска размер ущерба оценен как высокий (4 балла), а вероятность реализации риска как низкая (4 балла).
Итоговый вес для кредитного риска составляет 16 баллов.
Таким образом, данный вид риска организация относит к категории значимого риска.
5 10 15 20 25 4
8 12 16 20 3
6 9
12 15 2
4 6
8 10 1
2 3
4 5

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
35
Приложение 5
Пример ключевых индикаторов рисков
Вид риска
Подвид риска
КИР
Пороговое
значение
Риск персонала
(служебный риск)
Дефицит ресурсов персонала
- открытые вакансии;
- переработка сотрудниками количество в % от рабочего дня
Риск персонала
(служебный риск)
Умышленные действия работников организации
- конфликтные ситуации с администрацией организации количество
Риск персонала
(служебный риск)
Непреднамеренные ошибки работников организации
- факты совершения ошибочных действий персонала различного свойства количество
Риск внешних лиц
Неисполнение
(ненадлежащее исполнение) внешними лицами своих обязательств
- банкротство контрагента и связанные с этим финансовые потери в % от общей выручки организации
Риск внешних лиц
Совершение внешними лицами умышленных
(криминальных) действий с целью причинения ущерба организации, клиентам организации
- судебные разбирательства с контрагентом количество
Риск внешних лиц
Техногенные чрезвычайные ситуации
- случаи приостановки деятельности ключевых подразделений организации более чем на 30 минут количество
Коммуникационный риск
Изменение, искажение
(порча, утрата) получаемой/передава емой информации и документов
- конфликтная ситуация с администрацией организации у работника организации количество

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
36
Коммуникационный риск
Недоступность проведения операций в Банк - клиенте
- ситуация, связанная с невозможностью осуществления операций в клиент-банке непрерывно на протяжении 3 часов количество
Коммуникационный риск
Невозможность связаться с клиентом организации в процессе его обслуживания
- случаи невозможности установить связь с клиентом по каналам связи, известным организации, в течение 1 месяца количество
Коммуникационный риск
Невозможность получить распоряжения
/поручения клиентов
- случаи невозможности получения поручений клиента в течение 3 часов количество
Технологический риск
Сбой технологического процесса
- случаи сбоев в бизнес- процессах количество
Технологический риск
Не обеспечена непрерывность деятельности в чрезвычайных ситуациях
- случаи невозможности осуществления привычной деятельность Организации на протяжении более 1 часа количество
Технологический риск
Сбои в работе оборудования
(ПК, серверное оборудование, средства связи)
- случаи невозможности осуществления привычной деятельность Организации на протяжении более 1 часа количество
Технологический риск
Несанкционированно е распространение конфиденциальной информации, информации, составляющей коммерческую тайну, или персональных данных
- случаи несанкционированного распространения информации количество
Технологический риск
Сбои в работе средств криптографической защиты информации
- случаи невозможности подписать документы, исходящие от организации, уполномоченным лицом в течение 1 часа и более количество

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
37
Технологический риск
Сбои в работе систем
ЭДО
- случаи невозможности осуществления обмена электронными документами в течение 1 часа и более количество
Технологический риск
Нарушение целостности информации в базах данных
- случаи выявления факта наличия некорректной информации на уровне учетной системы или других информационных баз данных организации или на уровне внешних информационных ресурсов;
- случаи выявления факта некорректного формирования отчетных форм, формируемых на основании данных, содержащихся в информационных базах организации количество количество
Технологический риск
Кризис организации работы в подразделении
- случаи нарушений технологических процессов подразделения количество
Технологический риск
Сбои в процедуре заключения договора
- случаи нарушений технологических процессов подразделения, осуществляющего подготовку и последующее подписание договора с клиентом или контрагентом количество
Технологический риск
Сбои в процедуре приема поручений от клиента
- случаи невозможности получения поручений клиента в течение 1 часа и более количество
Технологический риск
Сбой в процедуре выставления счетов за услуги организации
- случаи несвоевременного выставления счетов за услуги организации;
- случаи нарушения графика поступлений вознаграждений организации за оказанные услуги количество количество

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
38
Технологический риск
Сбой в процедуре проведения операций с бездокументарными ценными бумагами
- случаи неисполнения поручений клиентов в установленные сроки;
- случаи перевода ценных бумаг в пользу лица, которое не было указано в поручении клиента количество количество
Технический риск
Невозможность оперативного устранения последствий неисправности оборудования
- случаи невозможности осуществления привычных бизнес-процессов организации в течение 1 часа и более количество
Технический риск
Неисполнение оборудованием возложенных на него функций из-за сбоев и нарушений в работе
- случаи невозможности осуществления привычных бизнес-процессов организации в течение 3 часов количество
Технический риск
Отключение электроэнергии/ перепады напряжения
- случаи отсутствия подачи электроэнергии в течение 1 часа и более количество
Регуляторный риск
(комплаенс-риск)
Применение регулирующими органами, а также уполномоченными государственными органами различного рода санкций к
Организации
- случаи получения различного рода предписаний, содержащих требование об устранении нарушений законодательства количество
Риск ОД/ФТ
Вовлечение
Организации в отмывание доходов, полученных преступным путем
- случаи выявления в деятельности клиентов признаков отмывания доходов, полученных преступным путем или финансирования терроризма количество
Организационный риск
Неэффективное распределение функциональных
(должностных) обязанностей и полномочий между
- случаи выполнения функциональных задач, не закрепленных за работником в должностной инструкции или ином внутреннем количество

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
39 структурными подразделениями
Организации документе организации
Кастодиальный риск Возникновение различного рода убытков, связанных с учетом (хранением) ценных бумаг клиентов организации, самой организации
- случаи выявления факта нарушений, связанных с учетом ценных бумаг количество
Кредитный риск
Неисполнение третьими лицами финансовых обязательств перед
Организацией
- случаи выявления факта нарушения условий договоров количество
Риск ликвидности
Невозможность реализовать финансовый актив
- случаи невозможности реализовать финансовый актив организации в течение
15 дней для ценных бумаг и в течение 1 месяца для иного вида активов количество
Рыночный риск
Валютный риск
- обязательства организации в иностранной валюте, которые предстоит выполнить в случае резкого падения курса национальной валюты
% от общей суммы обязательств
Рыночный риск
Обесценение финансовых вложений
- резкое снижение стоимости активов
% от стоимости актива
Рыночный риск
Рост инфляции
- рост инфляции на фоне отсутствия изменений в тарифной политике организации
% инфляции
Стратегический риск Отсутствие в полном объеме необходимых ресурсов и организационных мер, которые должны обеспечить достижение стратегических целей
- случаи отсутствия возможности обеспечения в срок необходимыми ресурсами, заявленными для конкретного проекта, бизнес-процесса и т.п. количество

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
40 деятельности
Организации
Стратегический риск Изменение спроса на услуги
- сокращение договоров на обслуживание в рамках видов деятельности, осуществляемых организацией
% от общего количества договоров
Отраслевой риск
Изменение бизнес – ситуации в отрасли
- факт проведения конкурентами агрессивной политики по привлечению новых клиентов;
- сокращение потенциальных клиентов, которые могут быть привлечены на обслуживание в организацию количество
% от общего количества потенциальных клиентов
Репутационный риск Снижение доверия к
Организации
- случаи участия организации в процессах, которые негативно отразились в отзывах о ней в прессе, Интернете или иных массовых источниках получения или распространения информации;
- факты получения организацией официальных уведомлений о прекращении с ней договорных отношений количество количество
Риск правового регулирования
(правовой риск)
Несоблюдение организацией требований заключенных договоров
- случаи выявления факта несоблюдения условий договоров количество
Риск правового регулирования
(правовой риск)
Несовершенство правовой системы
- случаи выявления фактов противоречивости законодательства;
- случаи выявления фактов отсутствия правовых норм регулирования отдельных количество количество

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
41 вопросов деятельности организации
Коммерческий риск
Потеря доходности по основному виду деятельности
Организации
- расторжение действующих договоров с клиентами в % от доходной части бюджета организации
Коммерческий риск
Увеличение просроченной кредиторской задолженности
- случаи выявления фактов нарушения графика платежей по ожидаемым к поступлению сумм вознаграждения организации количество
Коммерческий риск
Увеличение просроченной дебиторской задолженности
- случаи нарушения клиентами условий оплаты вознаграждения организации, установленные в договоре количество
Коммерческий риск
Ошибки при проведении расчетно
- кассовых операций
- случаи несанкционированного перечисления
(выдачи наличными) денежных средств;
- случаи допущения ошибок в платежных (кассовых) документах количество количество
Коммерческий риск
Использование некорректных или неполных исходных данных для осуществления расчетов по налогам
- случаи нарушения целостности данных в информационных базах данных организации;
- случаи возникновения технических сбоев в работе программного обеспечения, в том числе задействованного для формирования расчетных и отчетных данных количество количество

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
42
Приложение 6
Пример определения риск – аппетита организации в балльном
эквиваленте
Для каждого вида риска организацией установлено ограничение (допустимый уровень) в балльном эквиваленте:
Вид риска
Допустимый уровень (в балльном
эквиваленте)
Кредитный риск
4
Операционный риск
3
Рыночный риск
2
Правовой риск
3
Регуляторный риск
2
Риск ликвидности
3
Кастодиальный риск
4
Коммерческий риск
3
При этом риск – аппетит устанавливается в организации в виде набора баллов по видам рисков и составляет следующее значение 4 3 2 3 2 3 4 3.
При оценке соответствия рисков установленным ограничениям рассматривается каждый конкретный вид риска. При превышении допустимого уровня риска хотя бы по одному виду риска можно говорить о нарушении установленного уровня риск - аппетита организации.

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
43
Приложение 7
Пример проведения самооценки в организации
1. Порядок проведения Самооценки
Руководители структурных подразделений организации «Х» определяют ответственных сотрудников для заполнения Анкеты.
Должностное лицо, ответственное за организацию системы управления рисками, не позднее трех рабочих дней с даты окончания квартала направляет форму Анкеты в структурные подразделения.
Ответственный сотрудник на основе информации о деятельности структурного подразделения идентифицирует и оценивает операционные риски и контрольные процедуры структурного подразделения и заполняет Анкету. В случае необходимости Должностное лицо, ответственное за организацию системы управления рисками, оказывает консультационную поддержку ответственному сотруднику по вопросам заполнения Анкеты.
Руководитель структурного подразделения контролирует полноту и своевременность заполнения
Анкеты ответственным сотрудником. Заполненная Анкета подписывается ответственным сотрудником и руководителем структурного подразделения.
Ответственный сотрудник направляет заполненную Анкету Должностному лицу, ответственному за организацию системы управления рисками, не позднее 20 рабочих дней с даты окончания квартала. Должностное лицо, ответственное за организацию системы управления рисками, осуществляет обработку и анализ Анкет, поступивших от структурных подразделений. Результаты проведенной самооценки доводятся до сведения высшего руководства.
2. Этапы проведения Самооценки
2.1. Идентификация операционных рисков
Процедура идентификации операционных рисков осуществляется в разрезе бизнес-процессов структурного подразделения. Для этого могут использоваться

классификатор бизнес – процессов (при наличии);

технологические карты бизнес - процессов (при наличии);

регламент проведения операций (при наличии);

дополнительные источники информации;

положение о структурном подразделении;

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
44

должностные инструкции.
В процессе идентификации операционных рисков также могут использоваться иные источники информации, включая акты проверок структурного подразделения контролером и паспорта рисков.
Для каждого из выделенного в структурном подразделении бизнес – процесса выявляются возможные операционные риски. В перечень включаются операционные риски, которые уже реализовывались, либо могут реализоваться с большой долей вероятности в результате особенностей бизнес - процесса и контрольных процедур.
По каждому бизнес - процессу выделяется как минимум один операционный риск.
Информация о выявленных в ходе проведения идентификации операционных рисках заносится в
Анкету. В таблице 3 представлена часть Анкеты в отношении идентификации операционных рисков.
Таблица 3
Идентификация операционных рисков
№
риска
Описание бизнес - процесса
Описание операционного риска
Источник
операционного
риска
1
2
3
4
1
Контроль доступа к информационным ресурсам
Предоставление полного или несанкционированного доступа к БД
«Операционные риски» лицам с ограниченным доступом
Персонал
2
Составление отчетности для клиентов
Ошибочный отчет для клиента
Бизнес -процесс
Персонал
3
Прочие бизнес процессы
…
Прочие риски
…
…
…