Протокол 42018 от 21. 12. 2018 руководство по управлению рисками 2018
Скачать 1.2 Mb.
|
«Одобрено» Комитетом ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками (протокол № 4/2018 от 21.12.2018) РУКОВОДСТВО ПО УПРАВЛЕНИЮ РИСКАМИ 2018 Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 2 СОДЕРЖАНИЕ: РАЗДЕЛ 1. Область применения 3 РАЗДЕЛ 2. Методы оценки рисков 4 РАЗДЕЛ 3. Порядок признания рисков значимыми 9 РАЗДЕЛ 4. Ключевые индикаторы рисков 11 РАЗДЕЛ 5. Методы определения ограничений рисков (определение риск – аппетита организации) 12 РАЗДЕЛ 6. Проведение самооценки 13 РАЗДЕЛ 7. Способы оценки эффективности системы управления рисками 15 РАЗДЕЛ 8. Обмен информацией о рисках. Отчетность по системе управления рисками 21 Приложения: 1. Пример классификации рисков организации 22 2. Пример выбора методов оценки риска в зависимости от вида риска 27 3. Примеры шкал оценки размера потенциального ущерба и вероятности наступления риска 31 4. Пример оценки и признания кредитного риска значимым с использованием Матрицы рисков 33 5. Пример ключевых индикаторов рисков 35 6. Пример определения риск – аппетита в балльном эквиваленте 42 7. Пример проведения самооценки 43 8. Пример оценки соответствия системы управления рисками принципам и компонентам COSO ERM 50 9. Пример состава отчетности и иных внутренних документов организации в рамках системы управления рисками 62 10. Пример Реестра рисков 67 Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 3 РАЗДЕЛ 1. Область применения Настоящее Руководство по управлению рисками (далее - Руководство) разработано в развитие Внутреннего стандарта ПАРТАД по управлению рисками и внутреннего контроля в целях методологической поддержки членов ПАРТАД по вопросам управления рисками. Особый акцент в Руководстве сделан на практических примерах организации системы управления рисками. Руководство не является обязательным для применения членами ПАРТАД (далее по тексту – организация) и может быть использовано при разработке внутренних документов организации по системе управления рисками. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 4 РАЗДЕЛ 2. Методы оценки рисков Оценка рисков позволяет организации учитывать, в какой степени события могут оказать влияние на достижение ее целей. Оценка риска состоит из идентификации риска, его анализа и сравнительной оценки риска 1 Для этого используется количественные или качественные методы оценки, либо их сочетание. Методы качественной оценки часто используются в случаях невозможности количественного определения рисков, а также в случаях, когда достаточно надежные данные, требуемые для количественной оценки, либо нельзя получить, либо получение и анализ таких данных оказываются слишком дорогостоящими. Методы количественной оценки, как правило, требуют большей точности и используются в отношении более сложных и комплексных видов деятельности в дополнение к качественным методам. Качественные методы являются наиболее подходящими в отношении рисков, данными об истории проявления и частоте изменчивости которых располагает организация и которые, вследствие этого, можно надежно спрогнозировать. К основным методам оценки рисков можно отнести следующие: Качественные методы оценки: Мозговой штурм Метод «мозгового штурма» (brainstorming) – это метод коллективной генерации идей, применяемый при решении ряда задач, требующих нетривиальных подходов. Относится к методам экспертных оценок, так как предполагает участие группы лиц, являющихся специалистами в определенной области. Как правило, участниками «мозговых штурмов», проводимых для целей управления рисками, выступают представители топ-менеджмента, хотя возможно привлечение экспертов, особенно при идентификации и оценке специфических рисков. Рекомендуемое количество участников – 8-10 человек. Малое число участников может привести к вялости дискуссии и низкой эффективности процесса, большое – к сложностям регулирования дискуссии и фиксации идей. «Мозговой штурм» может быть использован в сочетании с другими методами оценки рисков, или самостоятельно как метод стимулирования креативного мышления на любом этапе процесса управления рисками. Структурированные или частично структурированные интервью 1 В соответствии со стандартом ИСО/МЭК 31010:2009 «Менеджмент риска. Методы оценки риска» (ISO/IEC 31010:2009 «Risk management — Risk assessment techniques»). Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 5 Представляет собой риск-интервью – опрос владельцев рисков с целью выявления и оценки рисков, входящих в сферу их компетенции. Метод является одним из наиболее понятных и доступных, но, тем не менее, достаточно сложным в применении. Структурированные и частично структурированные интервью полезны в ситуациях, когда трудно собрать людей для обсуждения или когда свободное обсуждение в группе невозможно. Данные виды интервью чаще всего используют как часть процесса анализа риска для идентификации опасностей или оценки эффективности средств управления. Структурированные и частично структурированные интервью могут быть использованы при сборе входных данных для оценки риска причастными сторонами. Структурированное риск-интервью – это опрос, проводимый с помощью специально разработанной анкеты. Вопросы, не включенные в анкету или опросный лист, не задаются. Вопросы в основном закрытого типа. Полуструктурированное риск-интервью содержит перечень вопросов для ответов в свободной форме либо список тем, которые необходимо охватить. Порядок вопросов может быть заданным или произвольным. Неструктурированное риск-интервью – свободная беседа на заданную тему. Может использоваться на начальных этапах построения системы управления рисками, для определения контекста и знакомства с организацией. Метод Дельфи Метод Дельфи – процедура, предназначенная для получения согласованного мнения группы экспертов. В процессе управления рисками может применяться для идентификации и оценки рисков, когда требуется обоснованная и согласованная экспертная оценка. Экспертная оценка – это не частное мнение профессионала в определенной области, а результат, полученный с применением формальной процедуры, позволяющей не только получить единое мнение целой группы экспертов, но и вычислить степень согласованности отдельных точек зрения. Метод Дельфи – самая распространенная и известная из таких процедур. Общая схема проведения экспертизы по методу Дельфи состоит в следующем. На первом туре эксперты дают ответы на поставленные вопросы, как правило, без аргументации. Ответы обрабатываются, определяются их статистические характеристики (средняя, среднеквадратическое отклонение, крайние значения ответов) и результаты обработки сообщаются экспертам. После этого проводится второй тур опроса, в ходе которого эксперты должны объяснить, почему они изменили или не изменили своего мнения. Данные обработки результатов второго тура опроса и аргументация ответов с сохранением анонимности снова сообщаются экспертам перед проведением третьего тура опроса. Последующие туры проводятся по такой же схеме. Подобная организация экспертизы позволяет экспертам учесть в своих ответах Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 6 новые для них обстоятельства и в то же время избавляет их от какого бы то ни было давления при отстаивании своей позиции. Контрольные листы Контрольные листы – это списки опасностей, рисков и сбоев в управлении. Они составляются на основе опыта работы, либо как результат предшествующей оценки рисков, либо по результатам сбоев, которые случались раньше. Контрольные списки могут применяться для идентификации опасностей и рисков, или для оценки эффективности управления рисками. Они могут являться дополнением другого метода оценки рисков, и наиболее полезны для проверки, все ли было охвачено при применении более творческих методик, выявляющих новые проблемы (например, для определения, все ли риски были идентифицированы в процессе «мозгового штурма», не выпали ли из рассмотрения «стандартные» риски при поиске рисков новых). Анализ воздействия на бизнес Метод анализа воздействия на бизнес (BIA) позволяет исследовать, как ключевые виды отказов/нарушений/разрушений могут повлиять на ключевые виды деятельности и процессы организации, а также идентифицировать и количественно определить необходимые возможности для управления организацией в этих условиях. Процесс метода BIA обеспечивает согласование и понимание: идентификации и критичности ключевых бизнес-процессов, функций, связанных ресурсов и ключевых взаимосвязей, существующих в организации; влияния отказов/нарушений/разрушений на возможности организации достигать установленных целей бизнеса; необходимых возможностей управления воздействием отказов/нарушений/разрушений и восстановлением нормального хода деятельности организации. Количественные методы оценки: Метод Value at Risk (Var) Var – это выраженная в денежных единицах оценка величины, которую не превысят ожидаемые в течение данного периода времени потери с заданной вероятностью. Для точного вычисления необходимо знать функции распределения портфельной прибыли в течение определенного временного промежутка. Чаще всего вычисление величины VaR осуществляется для периода от одного до десяти дней. При этом уровень достоверности очень высок – до 99%. Анализ чувствительности Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 7 Сводится к исследованию зависимости некоторого результирующего показателя от вариации значений показателей, участвующих в его определении. Иными словами, этот метод позволяет получить ответы на вопросы вида: что будет с результирующей величиной, если изменится значение некоторой исходной величины. Например, анализ чувствительности применяется в исследовании влияния изменения основных параметров проекта на его экономическую эффективность и в расчёте критических значений этих параметров. Анализ чувствительности проводится для определения степени влияния варьируемых факторов на финансовый результат проекта, который характеризует рассмотренные выше показатели эффективности инвестиций. В качестве варьируемых можно принять следующие факторы: уровень инфляции, ставки налогов, объем инвестиций, задержки платежей, потери при продажах, прямые издержки, отсрочки оплаты прямых издержек, общие издержки, заработная плата персонала, ставки по депозитам и по кредитам, ставка дисконтирования. В процессе анализа чувствительности может изменяться в определенном диапазоне значение одного из варьируемых факторов при фиксированных значениях остальных и определяется зависимость показателей эффективности от этих изменений. Максимальный диапазон изменений лежит в пределах от -100% до +100%. Сценарный анализ Основной принцип действия данного метода заключается в моделировании возможных ситуаций и последующей количественной оценке рисков на основе выводов, сделанных по результатам моделирования, т.е. какая-либо конкретная ситуация сравнивается с другой (обычно выборы «плохих» и «хороших» обстоятельств сравниваются с наиболее вероятными обстоятельствами). Он позволяет оценить потенциальное одновременное воздействие ряда факторов риска на деятельность организации в случае наступления экстремального, но вместе с тем вероятного события. Анализ начинается с оценки базового случая (наиболее вероятные значения входящих переменных), затем подбираются показатели, характерные для «плохого» стечения обстоятельств (высокие переменные затраты и т.д.) и для «хорошего». При этом отклонения параметров рассчитываются с учетом корреляции между ними. Стресс-тестирование Стресс-тестирование (Stress Testing) является методом количественной оценки риска, который заключается в определении величины несогласованной позиции, которая подвергает организацию риску и в определении шоковой величины изменения внешнего фактора — валютного курса, процентной ставки и тому подобное. Сочетание этих величин дает представление о том, какую сумму убытков или доходов получит организация, если события будут развиваться по заложенным предположениям. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 8 При выборе сценария стресс-тестирования организация может исходить из следующего: стресс-тестирование должно охватывать все значимые для организации риски и направления деятельности; сценарии стресс-тестирования должны учитывать события, которые могут причинить максимальный ущерб организации или повлечь потерю деловой репутации. В международной практике используются различные методики стресс-тестирования. В настоящее время наиболее распространенной методикой является сценарный анализ (на основе исторических или гипотетических событий). Также проводится анализ чувствительности портфеля активов к изменению факторов риска и рассчитываются максимальные потери. Смешанные методы оценки Матрица последствий и вероятностей Данный метод предполагает расположение ранжированных показателей последствий и вероятностей в виде таблицы (матрицы). При заранее сформированной матрице последствий и вероятностей предполагается отнесение в одну из ячеек матрицы. В зависимости от места оцененного риска в матрице делается вывод о его допустимости либо недопустимости. Формат, строки и колонки матрицы зависят от области применения, при этом очень важно, чтобы разработанная матрица соответствовала специфике деятельности организации. Приведенный перечень методов оценки рисков не является исчерпывающим. По усмотрению организации могут применяться иные методы оценки рисков 2 В Приложении 2 приведены варианты применения методов оценки рисков в зависимости от вида рисков. 2 Подробно Методы оценки рисков рассматриваются в стандарте ИСО/МЭК 31010:2009 «Менеджмент риска. Методы оценки риска» (ISO/IEC 31010:2009 «Risk management — Risk assessment techniques»). Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 9 РАЗДЕЛ 3. Порядок признания рисков значимыми В целях проведения оценки рисков, а также их последующего ранжирования по уровню значимости может использоваться Матрица последствий и вероятностей (Матрица рисков). Матрица рисков учитывает как вероятность наступления рискового события, так и последствия от реализации рисков. Матрица рисков может быть организована в табличной форме, где строки и столбцы представляют шкалы значений оценок последствий и вероятностей, а их пересечение позволяет количественно оценить тот или иной вид риска. В таблице 1 приведен пример Матрицы рисков. Таблица 1 Матрица рисков Раз ме р п оте н ц и альн ог о ущ ер ба К ри ти че ск и й В ы со к и й С ре дн и й Ни зк и й Незн ач и те л ьн ы й Невероятно Редко Маловероятно Возможно Вероятно Вероятность Примеры Шкал оценки размера потенциального ущерба и вероятности реализации риска в организации приведены в Приложении 3. Если к какому-то виду риска применимы несколько видов ущерба, для окончательной оценки риска может быть использован тот вид ущерба, величина которого окажется выше. В Матрице рисков (Таблица 1) выделяются три области: − риски высокого уровня (3); 1 1 1 1 1 1 2 2 3 3 3 2 2 2 2 2 2 3 3 2 2 2 2 3 2 Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 10 − риски среднего уровня (2); − риски низкого уровня (1). Внутренними документами организации в области управления рисками определяется, какие риски в соответствии с проводимой оценкой являются значимыми для организации. В Приложении 4 приведен пример оценки и признания кредитного риска значимым с использованием Матрицы рисков. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 11 РАЗДЕЛ 4. Ключевые индикаторы рисков Для определения источников (факторов) риска организация может использовать количественные или качественные показатели, характеризующие концентрацию рисков. Данные показатели именуются ключевыми индикаторами рисков (КИР). КИР позволяют оценить эффективность системы управления рисками и качество принятых мер в рамках системы управления рисками. Появление негативных сигналов от КИР, как правило, свидетельствует о возрастании вероятности реализации риска. Соответственно, предотвратить такую опасность можно через усиление контроля над ситуацией. Все КИР проходят этап адаптации и тестирования. В процессе функционирования системы управления рисками КИР могут корректироваться. КИР могут разрабатываться Должностным лицом, ответственным за организацию системы управления рисками, совместно с руководителями структурных подразделений и утверждаться руководителем организации. Тестирование КИР может проводиться с помощью системы внутренних рейтингов (например, путем присвоения баллов от 1 до 5). При этом КИР, относящиеся к определенному структурному подразделению, оцениваются сотрудниками именно этого подразделения. Средний балл по каждому КИР соотносится со шкалой, установленной в организации. Например, КИР, набравшие средний балл менее 3, исключаются из дальнейшего анализа. В результате проведенного анализа КИР для каждого вида риска можно определить 1-2 КИРа. Для мониторинга каждого КИР может назначаться ответственное лицо. Для КИР, как правило, устанавливается пороговое значение, при превышении которого требуется изменение меры реагирования на данный риск. Пример ключевых индикаторов рисков приведен в Приложении 5. Комитет ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками 12 |