Основные принципы комплаенс-контроля
Шрифт:
? инструментов хеджирования и страхования рисков;
? методов распределения полномочий и ответственности на всех этапах принятия решений между структурными подразделениями и должностными лицами организации;
? инструментов мониторинга ключевых рисков и их периодической оценки, текущего и последующего контроля качества управления активами/пассивами и уровнем принимаемых рисков;
? инструментов составления и анализа отчётности об оценочных триггерах и принимаемых рисках;
? инструментов информационно-технологического обеспечения возможности учёта сделок/операций, подверженных рискам.
Управление рисками базируется на принципах открытости, осторожности, а также основывается на:
? осведомлённости о риске (англ. risk awareness), при которой все сотрудники организации, осуществляющие операции, сопряжённые с риском, осведомлены о риске операций, обладают необходимыми навыками его идентификации, анализа и оценки и минимизации [8] ;
? принципе обеспечения т. н. «трёх линий защиты» (англ. three lines of defense), состоящих из:
• первой линии (принятие рисков) (англ. first line (risk taking), в которой структурные подразделения, принимающие риски (бизнес-подразделения), должны стремиться к достижению поставленных задач по развитию бизнеса с учётом оптимального соотношения доходности и риска, осуществлять мониторинг решений по принятию риска, учитывать профили рисков, внедрять эффективные бизнес-процессы, участвовать в процессах идентификации и оценки рисков, соблюдать требования нормативных правовых документов;
8
При этом проведение операции производится только после всестороннего анализа рисков, возникающих в результате её реализации.
• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;
• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.
1.2. Методика идентификации рисков и их лимитирование
Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам риска, и её главной целью является необходимость в определении:
? процесса идентификации [9] рисков и его периодичности;
? базы типов риска;
? реестра идентифицируемых рисков;
? методов оценки и выявления значимых рисков;
? состава и процесса составления карты рисков [10] .
Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы [11] риска, а также его величины [12] .
9
Выявление подверженности операций или сделок различным видам риска, возможности их возникновения, а также определение возможных негативных последствий, выявление факторов, увеличивающих или уменьшающих конкретный вид риска при осуществлении определённых операций либо сделок.
10
Список присущих рисков с описанием источников риска, вероятностей риска, мероприятий воздействия на риск и т. д.
11
Случайная величина (или событие), непосредственно влияющая на текущий уровень величины риска.
12
Стоимостная оценка подверженности риску, которая может выражаться как сумма возможных потерь вследствие изменения факторов риска.
Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.
Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.
Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения [13] , выделяет следующие методы идентификации рисков:
? анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;
? анализ заключений рейтинговых агентств;
? анализ результатов внешних и внутренних проверок деятельности организации;
13
Далее к таким практикам и стандартам будет применяться термин «best practice».
? анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;
? совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;
? самооценка через анализ так называемых чек-листов (контрольных листов);
? сценарный анализ.
Как уже указывалось выше, одним из основных инструментариев в части идентификации рисков является составление так называемой карты рисков, ведущейся в разрезе всех существующих видов риска, с учётом следующих показателей:
? название риска (приводится полное название риска в соответствии с применяемой градацией по их типу);
? источники возникновения риска (приводится описание основных инструментов/продуктов, процессов организации, её клиентов или контрагентов, которые могут сгенерировать возникновения риска);
? факторы вероятности риска (приводится описание события и/ или явления, оказывающего влияние на вероятность реализации риска);
? вероятность наступления риска (приводится описание оценочной категории вероятности появления риска, исходя из источников возникновения риска и факторов вероятности риска);
? значимость риска (показатель определяет, является ли риск значимым или нет, а также, в случае если риск является незначимым, относится ли он к деятельности организации в целом либо её отдельному направлению деятельности/продукту/услуге);
? мероприятия воздействия на риск (даётся описание основных подходов по купированию имеющегося либо возможного риска);
? ответственные за мероприятия воздействия на риск (указываются структурные подразделения организации, ответственные за идентификацию того или иного риска и его лимитирование);
? мониторинг риска (указываются основные мероприятия по мониторингу уровня рисков, имеющиеся отчёты и порядок их предоставления);
? даты внесения записи и/или последнего изменения записи.