Протокол 42018 от 21. 12. 2018 руководство по управлению рисками 2018
Скачать 1.2 Mb.
|
Текущая структура информационных потоков не позволяет своевременно принимать управленческие решения Текущая структура информационных потоков не достаточна для принятия взвешенных и своевременных управленческих решений Доступ пользователей к информации не обеспечивает потребности организации в части регулярности, актуальности и полноты информации Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Внедренные технологические решения не в состоянии обеспечить потребности организации/изменения законодательства Внедренные технологические решения не в состоянии обеспечить текущие либо перспективные потребности организации невозможность/ несвоевременность адаптации существующих технологий к изменения законодательства, требованиям к организации работы в организации, внутренним регламентам и процедурам Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 76 Несовместимость внедряемых технологий с существующими системами При взаимодействии внедряемых технологий с существующими системами могут возникать конфликты или новая система не может функционировать на базе существующего оборудования принятие решений о внедрении новой технологии без анализа специфики существующих технологий, отсутствие информации о конфликтах между существующими и внедряемыми технологиями Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Внедрение технологических решений не в срок При внедрении технологических решений могут быть задержки, не позволяющие осуществлять текущую деятельность эффективным образом или в соответствии с действующими требованиями задержки в работе организаций, внедряющих технологические решения Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Недостаточная адаптация ИТ решений к изменениям требований действующего законодательства Риск того, что при изменении требований законодательства настройки автоматизированной системы учета не будут своевременно адаптированы, что может привести к несоответствиям в деятельности и штрафам отсутствие информации об изменениях требований действующего законодательства, несвоевременная/не полная адаптация к изменениям Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Не обеспечена непрерывность деятельности В организации отсутствуют эффективные механизмы взаимодействия в режиме чрезвычайной ситуации и обеспечения восстановления нормального функционирования отсутствие плана действий организации в чрезвычайной ситуации, отсутствие плана восстановления ИТ функций после чрезвычайной ситуации Дирекция Сбои в работе программного обеспечения Сбои в работе программного обеспечения. Например, сбои ИТ систем, поддерживающих формирование отчетности организации сбои в энергообеспечении, преднамеренные действия персонала и третьих лиц, вирусов, вредоносных программ, сбои в системном программном обеспечении Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 77 Сбои в работе оборудования (ПК, серверное оборудование, средства связи) Сбои в работе оборудования (ПК, серверное оборудование, средства связи) сбои в энергообеспечении, чрезмерные нагрузки, преднамеренные действия персонала и третьих лиц, износ оборудования Управление информационных технологий Утечка/потеря конфиденциальной информации, информации, составляющей коммерческую тайну, или персональных данных Утечка/потеря конфиденциальной информации, информации, составляющей коммерческую тайну, или персональных данных халатность персонала, незащищенность информационных источников, несанкционированн ый доступ третьего лица к информации, нарушение режима хранения информации Управление информационных технологий Несоответствие прав доступа к информационным системам Отсутствие разграничения прав доступа к информационным системам, предоставленные права не соответствуют потребностям, отсутствует контроль за нарушением прав доступа отсутствие регламента предоставления прав доступа, сотрудники имеют избыточные права доступа к информационным системам Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Ненадлежащее функционирование используемых средств криптографической защиты информации Риск ненадлежащего функционирования используемых средств криптографической защиты информации неэффективность и/или неадекватность технологий Управление информационных технологий Необеспечение порядка осуществления ЭДО Риск необеспечения (ненадлежащего обеспечения) порядка осуществления ЭДО неэффективность и/или неадекватность технологий, порядка и способов осуществления ЭДО Управление информационных технологий Нарушение целостности информации баз данных Риск нарушения целостности информации баз данных организации некомпетентность, халатность сотрудников, сбои в работе Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 78 Сбой организации работы в подразделениях Риски возникновения сбоев работы в подразделениях изменение порядка взаимодействия и порядка проведения операций непосредственными исполнителями без уведомления руководителя, отсутствие взаимопонимания между сотрудниками, непередача или передача с опазданием информации между сотрудниками, способной повлиять на адекватность действий, нечеткое представление сотрудниками организации прав и обязанностей организации и клиентов, незнание или нечеткое знание действующего законодательства и положений внутренних документов, недобросовестное исполнение должностных обязанностей сотрудниками Управление информационных технологий, Депозитарий, Управление спецдепозитарных операций Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 79 Сбой в процедуре заключения договора Риски возникновения сбоев в процедуре заключения договоров оформление договора клиентом самостоятельно без последующей проверки сотрудниками организации, подписание договора неуполномоченным лицом либо получение договора с неподлинными подписями, некорректное составление договора при внесении изменений и дополнений в шаблонный договор, заключение договора по поддельным документам, предоставление клиентом недостоверных сведений при заключении договора, недостаточно тщательная экспертиза документов клиента сотрудниками организации Депозитарий, Управление спецдепозитарных операций Сбой в процедуре приема поручений от клиента Риск нарушения процедуры приема поручений от клиента прием поручений/распоряж ений с неподлинными подписями, прием поручений/ распоряжений с ошибками в заполнении, прием поручений/ распоряжений, подписанных неуполномоченным лицом, выбор для исполнения ошибочного поручения/ распоряжения при неоднократном переделывании документа клиентом, ошибка Депозитарий Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 80 сотрудника при внесении информации в систему учета Сбой в процедуре выявления нарушений Риск сбоя в процедуре выявления нарушений несвоевременное выявление/ устранение нарушений; ложное обнаружение факта нарушения (фактов устранения нарушения или не устранения нарушения в установленный срок); выдача ошибочного согласия или отказа в согласии на распоряжение имуществом; несвоевременная отправка уведомлений о выявлении/ устранении нарушений; несвоевременное включение (исключение) актива в расчете; нарушение сроков выполнения контрольных функций (формирования и направления отчетов, выдачи согласий, уведомлений о нарушениях и т.д.) Управление спецдепозитарных операций Сбой при обслуживании корпоративных действий эмитента Риск возникновения нарушений при проведении обслуживании корпоративных действий эмитента ошибки сотрудников организации при проведении операций в системе учета, несвоевременное уведомление клиентов о проведенных корпоративных действиях, ошибки при перечислении клиентам доходов по ценным бумагам Депозитарий Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 81 Сбой в процедуре выставления счетов за услуги Риск нарушения процедуры выставления счетов за услуги неверный расчет комиссии по тарифам организации, выставление счета с указанием неверных реквизитов клиента, неверный расчет при перевыставлении расходов, понесенных организацией при оплате услуг третьих лиц Депозитарий, Управление спецдепозитарных операций Сбой в процедуре проведения операций с бездокументарными ценными бумагами Риск сбоя в процедуре проведения операций с бездокументарными ценными бумагами ошибки сотрудников организации при заполнении поручений/ распоряжений депозитариям - корреспондентам и регистраторам, в результате чего операции не исполняются либо бумаги пререходят не на тот счет; недобросовестное отношение (умышленные ошибки) депозитариев - корреспондентов и/или регистраторов к исполнению поручений/ распоряжений, в результате чего операции не исполняются либо бумаги переходят не на тот счет; несвоевременное уведомление депозитариями - корреспондентами об исполнении/ неисполнении поручений; умышленный вывод ценных бумаг сотрудниками организации на подставные компании в реестр с целью личного обогащения; исполнение Депозитарий Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 82 операций без поручения клиента и/или отчета с места хранения; при наличии ошибки в выписке из реестра сделок, принятых в клиринг, зачисление/списание ценных бумаг не по тому счету; при подаче клиентом поручения на количество ценных бумаг, превышающее остаток по счету депо, трансляция поручения в депозитарий- корреспондент (регистратор) и последующее исполнение поручения по месту хранения; ввод недостоверной информации при приеме выпуска ценных бумаг на обслуживание; ошибки сотрудников при исполнении поручений клиентов Сбой в процедуре перевода по счетам депо Риск нарушения процедуры перевода ценных бумаг по счетам депо ошибки сотрудников организации при исполнении поручений (переведены неверные ценные бумаги, неверно выбран счет получателя), исполнение операций в отсутствии встречного поручения Депозитарий Несоблюдение условий заключенных договоров Риск несоблюдения организацией условий заключенных договоров (с регистраторами, депозитариями - депонентами, вышестоящими депозитариями, клиентами) халатность (мошеннические действия) сотрудников Депозитария, технические проблемы, проблемы связи Депозитарий, Управление спецдепозитарных операций Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 83 Технические риски № п/п Подвид риска Описание риска Владелец риска описание риска источники риска Подразделение ФИО 1 2 3 4 5 6 Невозможность оперативного устранения последствий неисправностей оборудования Организация не в состоянии организовать своевременную и эффективную работу по устранению последствий неисправностей оборудования низкая надежность систем, недостаточный уровень квалификации персонала, недостаточность финансирования Управление информационных технологий Неисполнение оборудованием возложенных на него функций из-за отказов и нарушений в работе Риск невозможности исполнения оборудованием возложенных на него функций из-за отказа и нарушений в работе износ оборудования, отсутствие планирования замены устаревшего оборудования Управление информационных технологий Самопроизвольные сбои в работе оборудования Риск самопроизвольного сбоя в работе оборудования износ оборудования Управление информационных технологий Отключение электроэнергии/ перепады напряжения Риск отключения электроэнергии/перепады напряжения сбой в деятельности энергопоставляюще й компании. Нарушение электропроводки в здании, в котором находится офис Управление информационных технологий Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 84 Комплаенс-риск (регуляторный) № п/п Подвид риска Описание риска Владелец риска описание риска источники риска Подразделение ФИО 1 2 3 4 5 6 Применение юридических санкций или санкций государственных органов Риск возникновения убытков, прекращения деятельности в связи с применением юридических санкций или санкций государственных органов Несоблюдение законов и нормативно - правовых актов, касающихся деятельности Организации, несоответствие внутренних документов требованиям законодательства, несвоевременное внесение изменений и дополнений во внутренние документы в связи с изменением законодательства, предоставление отчетности не в полном объеме и в нарушении установленных сроков, нарушение сроков выполнения операций, несоответствие деятельности в целом лицензионным требованиям (достаточность собственного капитала, количество аттестованных сотрудников, соответствие сотрудников квалификационным требованиям) Дирекция, Депозитарий, Управление спецдепозитарных операций Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 85 Риски ОД/ФТ № п/п Подвид риска Описание риска Владелец риска описание риска источники риска Подразделение ФИО 1 2 3 4 5 6 Вовлечение организации в отмывание преступных доходов Риск вовлечения организации в отмывание преступных доходов, в том числе обусловленное совершением клиентом организации операций, направленных на легализацию (отмывание) доходов, полученных преступным путем и финансирование терроризма Несоблюдение законодательства в части ПОД/ФТ Дирекция, Депозитарий, Управление спецдепозитарных операций Организационные риски № п/п Подвид риска Описание риска Владелец риска описание риска источники риска Подразделение ФИО 1 2 3 4 5 6 Несоответствие организационной структуры Риск несоответствия/ неэффективности организационной структуры деятельности организации, а также риск несоблюдения требований регулирующего органа к организационной структуре организации отсутствие анализа деятельности организации, распределения функций между подразделениями; незнание законодательства по направлениям деятельности организации Дирекция Несоответствие распределения функциональных (должностных) обязанностей и полномочий между структурными подразделениями Риск несоответствия/ неэффективности распределения функциональных (должностных) обязанностей и полномочий между структурными подразделениями отсутствие анализа распределения функций между подразделениями организации Дирекция, Депозитарий, Управление спецдепозитарных операций Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 86 Стратегические риски № п/п Подвид риска Описание риска Владелец риска описание риска источники риска Подразделение ФИО 1 2 3 4 5 6 Неправильное или недостаточно обоснованное определение перспективных направлений деятельности организации Риск недостаточного изучения и определения перспективных направлений деятельности Изменение экономической ситуации. Ошибки, допущенные при стратегическом планировании деятельности организации Дирекция Отсутствие в полном объеме необходимых ресурсов и организационных мер, которые должны обеспечить достижение стратегических целей деятельности организации Риск недостаточности ресурсов для достижения стратегических целей Изменение экономической ситуации. Ошибки, допущенные при стратегическом планировании деятельности организации Дирекция Изменение спроса на услуги Риск изменения рыночной конъюнктуры Изменение экономической ситуации. Ошибки, допущенные при стратегическом планировании деятельности организации Дирекция Политические риски № п/п Подвид риска Описание риска |