Протокол 42018 от 21. 12. 2018 руководство по управлению рисками 2018

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
54 2
Совет директоров демонстрирует независимость от исполнительного руководства и осуществляет надзор за развитием и функционировани ем внутреннего контроля
0,02 0,02*0,5=0,01
Недостаточная реализация принципа.
Принцип описан во внутреннем документе организации, но не внедрен на практике
Для повышения эффективности внутреннего контроля организации совету директоров необходимо осуществлять надзор за его развитием и функционировани ем в соответствии с «Положением о
Совете директоров».
3
Исполнительное руководство, под надзором совета директоров, определяет структуру организации, линии подчиненности, а также соответствующие полномочия, обязанности и ответственность в процессе достижения целей
0,02 0,02*1,0=0,02
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
4
Организация демонстрирует стремление к привлечению, развитию и удержанию компетентных сотрудников в соответствии с поставленными целями
0,02 0,02*1,0=0,02
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
5
Организация устанавливает ответственность сотрудников за выполнение ими своих обязанностей в сфере внутреннего контроля, управления рисками в процессе достижения целей
0,02 0,02*0=0,00
Отсутствие реализации принципа.
Принцип не определен во внутренних документах организации и не реализуется
Внутренними документами организации необходимо установить ответственность сотрудников за выполнение ими своих должностных обязанностей в сфере внутреннего контроля и

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
55 управления рисками в процессе достижения целей.
6
Система внутреннего контроля и управления рисками соответствует масштабам деятельности организации и ее стратегии
0,02 0,02*1,0=0,02
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
7
Высшее руководство определяет философию в отношении риска и риск – аппетита организации
0,02 0,02*1,0=0,02
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
ИТОГО
К
уз1
=0,14
/14%
0,11 /11%
Компонент «Постановка целей»
8
Организация определяет четкие цели для того, чтобы иметь возможность идентифицировать и оценить риски, препятствующие их достижению
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
9
Цели организации определяются до того, как высшее руководство выявит события, потенциально влияющие на достижение целей
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
10
При постановке целей должна соблюдаться
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Отсутствуют

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
56 иерархия целей: общие цели ставятся на стратегическом уровне, на их основе разрабатываются тактические цели, а также подцели.
Принцип определен во внутренних документах организации и функционирует
11
Процесс управления рисками обеспечивает
«разумную» гарантию того, что высшее руководство имеет правильно организовало процесс выбора и формулировки целей, и что цели устанавливаются таким образом, чтобы соответствовать миссии организации и учитывать уровень ее риск-аппетита
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
ИТОГО
К
уз1
=0,12
/12%
0,12 /12%
Компонент «Определение событий»
12
Организация определяет внутренние и внешние события, оказывающие влияние на достижение ее целей
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
57 13
Исходя из перечня событий, сформулированног о на основе анализа внешних и внутренних факторов, воздействующих на цели организации, организация оценивает влияние данных событий: положительное
(возможности), отрицательное
(риски) либо смешанное
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
14
Для отрицательных событий (рисков) определяются показатели, влияющие на возникновение данных рисков, - ключевые индикаторы рисков
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
15
Высшее руководство учитывает существующие возможности в процессе формирования стратегии и постановки целей
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
ИТОГО
К
уз1
=0,12
/12%
0,12 /12%
Компонент «Оценка рисков»
16
Организация идентифицирует риски, препятствующие достижению полного спектра своих целей, и осуществляет анализ рисков для определения
0,03 0,03*1,0=0,03
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
58 подходов к управлению ими
17
Организация учитывает возможность мошенничества при оценке рисков, препятствующих достижению поставленных целей
0,02 0,02*1,0=0,02
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
18
Организация определяет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля
0,03 0,03*0=0,00
Отсутствие реализации принципа.
Принцип не определен во внутренних документах организации и не реализуется
Внутренними документами организации необходимо установить, что организация определяет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля, а именно:
- оцениваются изменения во внешней среде
(регулятивной, экономической);
- оцениваются изменения в бизнес – модели
(новые направления деятельности, быстрый рост организации, новые технологии и т.д.);
- оцениваются изменения в руководстве
(состав, философия и т.д.).

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
59 19
Организация оценивает риски с учетом вероятности их возникновения и влияния
0,02 0,02*1,0=0,02
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
20
Организация проводит сравнительную оценку риска – соотнесение уровня риска с его допустимым
(целевым) уровнем
0,02 0,02*0,5=0,01
Недостаточная реализация принципа.
Принцип описан во внутреннем документе организации, но не внедрен на практике
Для повышения эффективности управления рисками необходимо внедрить на практике соотнесение уровня риска с его допустимым
(целевым значением).
ИТОГО_К_уз2_=0,12_/12%_0,08_/8%__Компонент_«Реагирование_на_риски»'>ИТОГО
К
уз2
=0,12
/12%
0,08 /8%
Компонент «Реагирование на риски»
21
Организация определяет и оценивает возможные виды реагирования на риски, включая возможность уклонения от риска, принятия его, сокращения или перераспределени я риска.
0,04 0,04*1,0=0,04
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
22
Выбранные методы реагирования приводят выявленный риск в соответствие с допустимым уровнем данного риска и с уровнем риск-аппетита организации.
0,05 0,05*1,0=0,05
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
60 23
При выборе способа реагирования организация оценивает затраты и выгоды от использования данного метода
0,05 0,05*1,0=0,05
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
ИТОГО
К
уз1
=0,14
/14%
0,14 /14%
Компонент «Средства контроля»
24
Организация выбирает и разрабатывает контрольные процедуры, которые позволяют снизить до приемлемого уровня риски, препятствующие достижению целей
0,04 0,04*1,0=0,04
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
25
Организация выбирает и разрабатывает общие процедуры контроля над технологиями для достижения поставленных целей
0,04 0,04*1,0=0,04
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
26
Организация реализует контрольные процедуры посредством политик, которые определяют ожидаемые результаты, и процедур, посредством которых политики претворяются в жизнь
0,04 0,04*0,5=0,02
Недостаточная реализация принципа.
Принцип описан во внутреннем документе организации, но не полностью внедрен на практике
Необходимо на практике периодически анализировать контрольные процедуры на предмет сохранения актуальности и обновлять их по мере необходимости.
ИТОГО
К
уз3
=0,12
/12%
0,10 /10%
Компонент «Информация и коммуникации»

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
61 27
Организация получает или формирует и использует значимую и качественную информацию для поддержания функционирования внутреннего контроля и управления рисками
0,04 0,04*1,0=0,04
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
28
В организации осуществляется внутренний обмен информацией, включая информацию о целях и обязанностях в области внутреннего контроля и управления рисками, которая необходима для его функционирования
0,04 0,04*0,5=0,02
Недостаточная реализация принципа.
Принцип описан во внутреннем документе организации, но не полностью внедрен на практике
Способ осуществления коммуникаций не всегда учитывает такие факторы, как своевременность и характер информации.
Отсутствуют отдельные каналы передачи информации, такие как
«горячие линии» для сообщения о нарушениях, которые служат надежными механизмами для передачи анонимных или конфиденциальных сообщений в тех случаях, когда обычные каналы не функционируют или неэффективны.
29
Организация осуществляет обмен информацией с внешними сторонами по вопросам, оказывающим влияние на функционирование внутреннего контроля и управления рисками
0,04 0,04*1,0=0,04
Принцип реализуется должным образом.
Принцип определен во внутренних документах организации и функционирует
Отсутствуют
ИТОГО
К
уз4
=0,12
0,10 /10%

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
62
/12%
Компонент «Мониторинг»
30
Организация выбирает, готовит и проводит непрерывные и/или периодические оценки компонентов внутреннего контроля и управления рисками с целью удостовериться, что они есть в наличии и работают
0,4 0,4*0=0,00
Отсутствие реализации принципа.
Принцип не определен во внутренних документах организации и не реализуется
Во внутренних документах организации необходимо определить проведение непрерывных и/или периодических оценок компонентов внутреннего контроля и управления рисками с целью удостовериться, что они есть в наличии и работают.
При этом необходимо учитывать быстроту изменения бизнеса и бизнес
– процессов, обеспечить интеграцию оценок с бизнес
– процессами, корректировать объем и частоту оценок в зависимости от рисков и др.
31
Организация оценивает недостатки внутреннего контроля и управления рисками и своевременно информирует о них стороны, ответственные за осуществление корректирующих действий, включая высшее исполнительное руководство и совет директоров
0,4 0,4*0=0,00
Отсутствие реализации принципа.
Принцип не определен во внутренних документах организации и не реализуется
Во внутренних документах организации необходимо определить, что организация оценивает недостатки внутреннего контроля и управления рисками и своевременно информирует о них стороны, ответственные за осуществление корректирующих действий, включая

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
63 исполнительное руководство и совет директоров, а именно:
• исполнитель ное руководство и совет директоров анализируют результаты непрерывных и периодических оценок;
• информация о недостатках предоставляется в установленном порядке сторонам, ответственным за осуществление корректирующих действий, исполнительном у руководству и совету директоров;
• исполнитель ное руководство контролирует своевременность устранения недостатков.
32
Мониторинг системы управления рисками осуществляется путем контроля за величинами ключевых индикаторов риска и их соответствием допустимым
(целевым) уровням
КИР
0,4 0,4*0,5=0,02
Недостаточная реализация принципа.
Принцип описан во внутреннем документе организации, но не внедрен на практике
Необходимо внедрить в практике деятельности организации контроль за величинами ключевых индикаторов риска и их соответствием допустимым
(целевым) уровням
КИР.
ИТОГО
К
уз5
=0,12 /12% 0,02 /2%
ВСЕГО
1,0 /100%
0,79 /79%
Покомпонентная сумма показателей реализации принципов составляет 0,79 (или 79%).
Система управления рисками организации достаточно эффективна.

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
64
Приложение 9
Пример состава отчетности и иных внутренних документов организации в
рамках системы управления рисками
В организации может быть определен следующий состав отчетности в рамках системы управления рисками:

Отчет о результатах самооценки;

План мероприятий по снижению рисков (Таблица 11);

Отчет о выполнении плана мероприятий по снижению рисков (Таблица 12);

Отчет Должностного лица, ответственного за организацию системы управления рисками, о проделанной работе по организации системы управления рисками (далее – Отчет Должностного лица) (Таблица 13).
Также могут быть определены иные внутренние документы организации в рамках системы управления рисками:

Паспорт риска (Таблица 14);

Матрица рисков (Таблица 15);

иные.
Представление отчетов по системе управления рисками, за исключением Отчета о результатах анкетирования, осуществляется ежеквартально.
В течение 15 рабочих дней после завершения квартала Должностным лицом, ответственным за организацию системы управления рисками, может формироваться Матрица рисков, План мероприятий по снижению рисков, Отчет о проделанной работе, и/или иные документы, формируемые в организации в рамках системы управления рисками по итогам отчетного периода.
Указанные документы с определенной в организации периодичностью представляются на ознакомление руководителю организации в целях принятия соответствующих управленческих решений.
Отчет Должностного лица формируется ежеквартально в течение 15 рабочих дней после завершения квартала. В Отчете Должностного лица указывается информация о выявленных рисковых событиях, а также может быть указана информация о количестве составленных за квартал Паспортов риска, результаты анализа составленной по итогам квартала Матрицы рисков, результаты анализа установленных предельных размеров рисков и совокупного предельного размера рисков. В Отчете Должностного лица по итогам года также указываются результаты оценки эффективности системы управления рисками. Руководитель организации по итогам

Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками
65 рассмотрения Отчета Должностного лица принимает решение по вопросам развития
(совершенствования) системы управления рисками.
Таблица 11