Протокол 42018 от 21. 12. 2018 руководство по управлению рисками 2018

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
45 операционного риска. В перечень также включаются отсутствующие, но планируемые к внедрению контрольные процедуры.
По каждой контрольной процедуре указывается внутренний документ (при наличии), определяющий порядок выполнения этой процедуры. На основе экспертного мнения определяется достаточность контрольных процедур (контроль достаточный/недостаточный).
Если контрольные процедуры в отношении определенного вида риска отсутствуют или требуют улучшения (недостаточный контроль), ответственный сотрудник указывает возможные меры по его улучшению.
Далее указываются мероприятия, позволяющие осуществлять мониторинг выполнения заданных контрольных процедур.
Информация по контрольным процедурам заносится ответственным сотрудником структурного подразделения в Анкету. В Таблице 4 представлена часть Анкеты в отношении контрольных процедур.
Таблица 4
Анализ контрольных процедур
№
риска
Контрольные процедуры
Достаточность
контроля/возможные
меры по улучшению
Ссылка на
внутренние
документы,
определяющие
контрольные
процедуры
(при наличии)
Мониторинг
контрольных
процедур
1
5
6
7
8
1
Предоставление доступа производится на основании заявки по решению главного специалиста по информационной безопасности
Достаточный контроль
Инструкция по управлению доступом к информационным системам
Ежеквартальная проверка руководителем подразделения соблюдения инструкции по управлению доступом к системам информационной безопасности

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
46 2
Автоматизация отчетов для клиентов
Достаточный контроль
-
Ежеквартальная выборочная проверка выданных отчетов руководителем структурного подразделения
3
…
2.3. Оценка операционного риска
По итогам формирования форм по операционным рискам и контрольным процедурам ответственный сотрудник структурного подразделения проводит ранжирование операционных рисков по уровню значимости.
Оценка значимости (ранжирование) операционных рисков структурного подразделения производится по следующей пятибалльной шкале:
1.
Действие операционного риска, в случае его реализации, не прервет штатноеисполнение бизнес - процесса; все необходимые контрольные процедуры и формы мониторинга частично, либо полностью реализованы; прямые потери – отсутствуют в любом случае;
2. действие операционного риска, в случае его реализации, приведет к незначительным изменениям в качестве исполнения бизнес - процесса; последствия легко исправимы силами структурного подразделения, необходимые контрольные процедуры требуют незначительных доработок; прямые потери полностью возмещаются;
3. действие операционного риска, в случае его реализации, приведет к незначительным изменениям в качестве исполнения бизнес - процесса; последствия исправимы, как правило, с привлечением стороннего структурного подразделения, частично отсутствуют необходимые контрольные процедуры и формы мониторинга, прямые потери полностью возмещаются или их величина незначительна;
4. действие операционного риска, в случае его реализации, приведет к значительным изменениям в качестве исполнения бизнес - процесса, возможна полная остановка исполнения бизнес - процесса; ликвидация последствий требует затрат времени, необходимые контрольные процедуры и формы мониторинга частично или практически отсутствуют; прямые потери невосполнимы или частично восполнимы;
5. действие операционного риска, в случае его реализации, приведет к значительным изменениям в качестве исполнения бизнес - процесса, возможна полная остановка исполнения процесса; ликвидация последствий, как правило, невозможна, необходимые контрольные процедуры и формы мониторинга отсутствуют, прямые потери невосполнимы или составляют значительные суммы.

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
47
Дополнительно к оценке значимости ответственный сотрудник оценивает операционные риски в разрезе вероятности наступления и последствий при реализации риска.
Результаты проведенной оценки вносятся в Анкету. В Таблице 5 приведена часть Анкеты в отношении оценки операционного риска.
Таблица 5
Оценка операционного риска
№
Риска
Описание операционного риска (ОР)
Уровень
значимости
Вероятность
наступления
Последствия
1
3
9
10
11
1
Предоставление полного или несанкционированного доступа к БД
«Операционные риски» людям с ограниченным доступом
3
Можно
отразить в
баллах, в %
Можно
отразить в
баллах, в руб., в
рабочих часах, в
иной форме
2
Составление отчетности для клиентов
3
Можно
отразить в
баллах, в %
Можно
отразить в
баллах, в руб., в
рабочих часах, в
иной форме
3
…
2.4. Разработка ключевых индикаторов риска
В отношении выявленных рисков ответственным сотрудником определяются ключевые индикаторы риска (КИР).
КИР устанавливается для тех рисков, где:

установлен балльный коэффициент значимости операционных рисков от 3 до 5-ти;

контрольные процедуры практически отсутствуют или не работают;

наблюдается высокая частота проявления этого риска;
Также КИР могут устанавливаться по иным рискам.
Определенные КИР заносятся в Анкету. В таблице 6 форму приведена часть Анкеты в отношении
КИР.
Таблица 6
Перечень ключевых индикаторов риска

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
48
№
риска
Описание ключевого индикатора риска
Предельное
значение
Частота сбора
отчетности
(расчетов)
1
12
13
14
1
Количество несанкционированных или некорректных доступов к общему числу пользователей за квартал (%)
5%
Раз в квартал
2
Количество недостоверных событий к общему числу операционных событий за квартал (%)
1%
Раз в квартал
3
…
2.5. Разработка планов мероприятий
Ответственный сотрудник совместно с руководителем структурного подразделения анализируют заполненные поля Анкеты по операционным рискам, контрольным процедурам и мониторингу и определяют мероприятия по устранению выявленных пробелов. Часть Анкеты в отношении планируемых мероприятий приведена в таблице 7.
Таблица 7
План мероприятий
№
риска
Мероприятия
Ответственный
исполнитель
Срок
исполнения
1
15
16
17
1
Обучение сотрудников
Должность/ФИО
1 квартал
2
Разработка инструкций по актуализации и проверки отчетов для клиентов
Должность/ФИО
1 квартал
3
…
На основе предоставленных от структурных подразделений организации Анкет Риск – менеджер формирует сводный документ по результатам проведенной самооценки «Отчет по самооценке»
(Таблица 8).

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
49
Таблица 8
Отчет по самооценке
№
риск
а
Идентификация
операционных
рисков
Перечень
контрольных
процедур
Оценка
операционного
риска
Перечень
ключевых
индикаторов
риска
План
мероприятий
П
рим
еч
ани
е
О
пи
са
ни
е
бизнес
-
про
це
сс
а
О
пи
са
ни
е
опе
ра
ци
онн
ог
о
риск
а
И
ст
очн
ик
о
пе
ра
ци
онн
ог
о
риск
а
Ко
нт
ро
л
ьн
ые
про
це
ду
ры
До
ст
ато
чн
ост
ь
к
онт
ро
л
я/
во
зм
ожные
м
еры
по
у
л
учше
ни
ю
Ссы
л
ка
на
вн
утрен
ни
е
до
к
ум
ен
ты
М
они
то
ринг
ко
нт
ро
л
ьн
ых
про
це
ду
р
Уро
ве
нь
з
на
чи
м
ост
и
В
еро
ят
но
ст
ь
на
ст
упл
ен
ия
П
осл
едс
тв
ия
О
пи
са
ни
е
КИ
Р
П
редел
ьн
ое
зна
че
ни
е
Ча
ст
ота
сб
ора
о
тч
ет
н
ост
и
(ра
сч
ет
ов)
О
пи
са
ни
е
м
еро
прия
ти
я
О
тв
ет
ст
ве
нн
ый
ис
по
л
ни
те
л
ь
Сро
к
ис
по
л
не
ни
я
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
50
Приложение 8
Пример оценки соответствия системы управления рисками принципам и
компонентам COSO ERM
Определяются принципы внутри каждого компонента управления рисками.
Таблица 9
№ п/п
№ внутри
компонента
Принцип
Компонент «Внутренняя среда»
1
1
Организация демонстрирует приверженность принципу порядочности и этическим ценностям
2
2
Совет директоров демонстрирует независимость от исполнительного руководства и осуществляет надзор за развитием и функционированием внутреннего контроля
3
3
Исполнительное руководство, под надзором совета директоров, определяет структуру организации, линии подчиненности, а также соответствующие полномочия, обязанности и ответственность в процессе достижения целей
4
4
Организация демонстрирует стремление к привлечению, развитию и удержанию компетентных сотрудников в соответствии с поставленными целями
5
5
Организация устанавливает ответственность сотрудников за выполнение ими своих обязанностей в сфере внутреннего контроля, управления рисками в процессе достижения целей
6
6
Система внутреннего контроля и управления рисками должна соответствовать масштабам деятельности организации и ее стратегии
7
7
Высшее руководство определяет философию в отношении риска и риск- аппетита организации
Компонент «Постановка целей»
8
1
Организация определяет четкие цели для того, чтобы иметь возможность идентифицировать и оценить риски, препятствующие их достижению
9
2
Цели организации определяются до того, как высшее руководство выявит события, потенциально влияющие на достижение целей
10
3
При постановке целей должна соблюдаться иерархия целей: общие цели ставятся на стратегическом уровне, на их основе разрабатываются

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
51 тактические цели, а также подцели.
11
4
Процесс управления рисками обеспечивает «разумную» гарантию того, что высшее руководство имеет правильно организовало процесс выбора и формулировки целей, и что цели устанавливаются таким образом, чтобы соответствовать миссии организации и учитывать уровень ее риск- аппетита
Компонент «Определение событий»
12
1
Организация определяет внутренние и внешние события, оказывающие влияние на достижение ее целей
13
2
Исходя из перечня событий, сформулированного на основе анализа внешних и внутренних факторов, воздействующих на цели организации, организация оценивает влияние данных событий: положительное
(возможности), отрицательное (риски) либо смешанное
14
3
Для отрицательных событий (рисков) определяются показатели, влияющие на возникновение данных рисков, - ключевые индикаторы рисков
15
4
Высшее руководство учитывает существующие возможности в процессе формирования стратегии и постановки целей
Компонент «Оценка рисков»
16
1
Организация идентифицирует риски, препятствующие достижению полного спектра своих целей, и осуществляет анализ рисков для определения подходов к управлению ими
17
2
Организация учитывает возможность мошенничества при оценке рисков, препятствующих достижению поставленных целей
18
3
Организация определяет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля
19
4
Организация оценивает риски с учетом вероятности их возникновения и влияния
20
5
Организация проводит сравнительную оценку риска – соотнесение уровня риска с его допустимым (целевым) уровнем
Компонент «Реагирование на риски»
21
1
Организация определяет и оценивает возможные виды реагирования на риски, включая возможность уклонения от риска, принятия его, сокращения или перераспределения риска.
22
2
Выбранные методы реагирования должны привести выявленный риск в соответствие с допустимым уровнем данного риска и с уровнем риск-

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
52 аппетита организации.
23
3
При выборе способа реагирования организация должна оценить затраты и выгоды от использования данного метода
Компонент «Средства контроля»
24
1
Организация выбирает и разрабатывает контрольные процедуры, которые позволяют снизить до приемлемого уровня риски, препятствующие достижению целей
25
2
Организация выбирает и разрабатывает общие процедуры контроля над технологиями для достижения поставленных целей
26
3
Организация реализует контрольные процедуры посредством политик, которые определяют ожидаемые результаты, и процедур, посредством которых политики претворяются в жизнь
Компонент «Информация и коммуникации»
27
1
Организация получает или формирует и использует значимую и качественную информацию для поддержания функционирования внутреннего контроля и управления рисками
28
2
В организации осуществляется внутренний обмен информацией, включая информацию о целях и обязанностях в области внутреннего контроля и управления рисками, которая необходима для их функционирования
29
3
Организация осуществляет обмен информацией с внешними сторонами по вопросам, оказывающим влияние на функционирование внутреннего контроля и управления рисками
Компонент «Мониторинг»
30
1
Организация выбирает, готовит и проводит непрерывные и/или периодические оценки компонентов внутреннего контроля и управления рисками с целью удостовериться, что они есть в наличии и работают
31
2
Организация оценивает недостатки внутреннего контроля и управления рисками и своевременно информирует о них стороны, ответственные за осуществление корректирующих действий, включая исполнительное руководство и совет директоров
32
3
Мониторинг системы управления рисками осуществляется путем контроля за величинами ключевых индикаторов риска и их соответствием допустимым (целевым) уровням КИР

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
53
Установлены следующие значения коэффициента реализации принципа:
0– отсутствие реализации принципа (принцип не определен – не описан во внутренних документах)
0,5– недостаточная реализация принципа (принцип определен, но не функционирует должным образом)
1,0– принцип реализуется должным образом (принцип определен и функционирует)
Уровень реализации принципа (столбец 4 Таблицы 10) рассчитывается как произведение
уровня значимости принципа (столбец 3 Таблицы 10) и