III. Требования, связанные с организацией
управления рисками
3.1. В случае, если при управлении (доверительном управлении) Активами заключаются срочные контракты, управляющая компания, осуществляющая управление (доверительное управление) Активами, обязана организовать систему управления рисками с соблюдением требований, установленных настоящим Положением.
3.2. Система управления рисками должна предусматривать:
1) расчет величин, необходимых для соблюдения требований, установленных разделом 2 настоящего Положения, а также, в случае необходимости более точной оценки рисков, иных величин;
2) установление лимитов на стоимость финансовых инструментов по срочным контрактам, которые могут составлять Активы, в соответствии с требованиями, установленными разделом 2 настоящего Положения, и иными требованиями в случае их установления управляющей компанией, осуществляющей управление (доверительное управление) Активами;
3) ежедневный анализ изменения значений величин, предусмотренных настоящим Положением, и иных величин в случае их определения управляющей компанией, осуществляющей управление (доверительное управление) Активами;
4) оценку эффективности инвестиций в финансовые инструменты по срочным контрактам, по которым рассчитывается величина совокупной короткой позиции. При этом инвестиции в указанные финансовые инструменты являются эффективными, если величина совокупной короткой позиции и соответствующая ей величина покрытия совокупной короткой позиции одновременно уменьшились или увеличились по сравнению с их значениями на дату заключения срочных контрактов, по которым определяется величина короткой позиции;
5) корректировку состава и структуры Активов или состава и структуры покрытия совокупной короткой позиции в случае превышения установленных лимитов на стоимость финансовых инструментов по срочным контрактам, которые могут составлять Активы, и в случае неэффективности инвестиций в финансовые инструменты по срочным контрактам, по которым рассчитывается величина совокупной короткой позиции;
6) порядок действий управляющей компании, осуществляющей управление (доверительное управление) Активами, в случае, если значения коэффициентов корреляции, предусмотренных настоящим Положением, стало менее 0,7.
3.3. В случае, если при управлении (доверительном управлении) Активами заключаются срочные контракты, управляющая компания, осуществляющая управление (доверительное управление) Активами, обязана утвердить внутренний документ (регламент управления рисками), который должен содержать порядок функционирования системы управления рисками, методологию оценки рисков, включая порядок расчета величин, применяемых для указанной оценки.
3.4. Несоответствие состава и (или) структуры Активов, в которые входят финансовые инструменты по срочным контрактам, требованиям настоящего Положения, иных нормативных правовых актов Российской Федерации и инвестиционной декларации инвестиционного фонда (управляющей компании) должно быть устранено в порядке и в сроки, определенные нормативными правовыми актами Российской Федерации для устранения таких несоответствий, если настоящим Положением не определены иные порядок и (или) сроки устранения несоответствий.
3.5. Несоответствие состава и (или) структуры Активов, в которые входят финансовые инструменты по опционным контрактам, требованиям настоящего Положения, иных нормативных правовых актов Российской Федерации и инвестиционной декларации инвестиционного фонда (управляющей компании), возникшее в связи с изменением оценочной стоимости ценных бумаг, являющихся базовым активом соответствующих опционных контрактов или фьючерсных контрактов, являющихся базовым активом соответствующих опционных контрактов, должно быть устранено управляющей компанией мерами, в наибольшей степени отвечающими интересам лиц, в интересах которых осуществляется управление (доверительное управление) Активами, в течение 3 месяцев с даты, когда указанное несоответствие было или должно было быть выявлено, а если указанное несоответствие было или должно было быть выявлено менее чем за 30 дней до последнего дня торгов, на которых могут быть заключены указанные опционные контракты, — в течение срока, оставшегося до последнего дня торгов, на которых могут быть заключены указанные опционные контракты.
3.6. Несоответствие требованиям, установленным пунктами 2.4 и 2.5, подпунктом 2 пункта 2.8, пунктами 2.9 и 2.10 настоящего Положения, должно быть устранено в течение 3 рабочих дней с даты, когда указанное несоответствие было или должно было быть выявлено.
3.7. Несоответствие требованиям настоящего Положения в части уменьшения коэффициентов корреляции, предусмотренных настоящим Положением, до уровня менее 0,5 должно быть устранено в течение 3 рабочих дней с даты, когда указанное несоответствие было или должно было быть выявлено.
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
- Управление рисками угроз
- Внутренний контроль
- Внутренний аудит
- Соответствие регуляторным требованиям
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
- Определение вероятности риска
- Оценка частоты и серьезности последствий
- Определение альтернативных подходов, включая оптимизацию бизнес-процессов, которые приведут к снижению вероятности и/или последствий риска
- Выбор и реализация действий, определенных на предыдущем этапе
- Контроль реализации действий и их корректировка, по мере необходимости
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
- Риск — негативное или позитивное явление, которое может произойти и оказать влияние на процесс / проект
- Угроза — возможная опасность, которую несет в себе риск
- Воздействие — величина последствий, которые происходят, в случае наступления риска
- Величина риска = вероятность возникновения риска * воздействие
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
CAS
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
- Угрозы: стихийные бедствия, материальный ущерб и прочее.
- Финансовые риски: например, риски активов, ценных бумаг или фиатных валют
- Стратегические риски: конкуренция, тенденции бизнеса и так далее.
- Операционные риски:удовлетворенность клиентов, целостность бренда, репутация, неисправности и отказы продукта
Процессы управления рисками
- Создание контекста: внутренний и внешний охват организации, а также охват системы ERM
- Определение рисков: поскольку они связаны с целями организации, они должны быть хорошо документированы и включать соответствующий потенциал для получения конкурентных преимуществ, в результате совершенствования процесса
- Анализ серьезности рисков: для каждого из выявленных рисков оцените (и, если возможно, оцените количественно) серьезность каждого риска
- Интеграция рисков: на основе результатов предыдущего анализа рисков агрегируйте все распределения рисков и приведите анализ в соответствие с влиянием на ключевые показатели эффективности
- Определение приоритетов рисков: определите ранжированный порядок приоритетов для каждого из выявленных рисков
- Стратегии управления рисками: включает в себя стратегии разрешения и использования выявленных рисков
- Мониторинг и анализ результатов: постоянное совершенствование процесса управления рисками путем мониторинга и оценки среды рисков. Это оценка того, что работает, а что нет.
COSO
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
- Руководство и культура
- Стратегия и постановка целей
- Производительность
- Анализ и пересмотр
- Информация, коммуникации и отчетность
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.
Автор: Андрей Зайцев
Источник: материалы сайта rzbpm.ru
Особенности системы управления рисками профессионального участника рынка ценных бумаг
С 28 июня 2018 года профессиональные участники рынка ценных бумаг обязаны создать у себя систему управления рисками в соответствии с требованиями Указания Банка России от 21 августа 2017 г. N 4501-У «О требованиях к организации профессиональным участником рынка ценных бумаг системы управления рисками, связанными с осуществлением профессиональной деятельности на рынке ценных бумаг и с осуществлением операций с собственным имуществом, в зависимости от вида деятельности и характера совершаемых операций» (далее – Требования).
Профессиональный участник в рамках организации системы управления рисками должен разработать внутренние документы профессионального участника, устанавливающий (устанавливающие) порядок организации и осуществления управления рисками профессионального участника (регламент управления рисками профессионального участника).
Регламент управления рисками профессионального участника должен включать:
- общие положения, определяющие цели организации системы управления рисками;
- порядок признания профессиональным участником рисков значимыми, а также определение критериев существенности последствий, включая последствия к которым может привести реализация рисков профессионального участника, в целях признания профессиональным участником рисков значимыми;
- методику определения ограничений рисков;
- порядок выявления нарушений ограничений рисков и порядок осуществления мероприятий по их устранению и (или) осуществления иных мероприятий в отношении рисков профессионального участника в рамках снижения этих рисков или их исключения, контроля за их реализацией;
- порядок организации и осуществления процессов и мероприятий, предусмотренных главой 2 Требований, в том числе принятия решений профессиональным участником в рамках управления рисками профессионального участника (по каждому виду рисков, за исключением регуляторного риска);
- порядок ведения на постоянной основе реестра рисков профессионального участника с указанием источников этих рисков (за исключением регуляторного риска), а также периодичность пересмотра реестра рисков профессионального участника в целях актуализации данных, содержащихся в нем;
- права и обязанности органов управления профессионального участника, руководителей и работников структурных подразделений профессионального участника, в том числе должностного лица (руководителя отдельного структурного подразделения), ответственного за организацию системы управления рисками, в рамках организации системы управления рисками профессионального участника;
- порядок взаимодействия органов управления профессионального участника и структурных подразделений профессионального участника, в том числе установление случаев и порядка обязательного информирования органов управления профессионального участника о рисках профессионального участника (за исключением регуляторного риска) и доведения до сведения органов управления профессионального участника плана мероприятий и информации о его реализации, а также информации об ограничениях рисков и нарушениях ограничений рисков;
- порядок, содержание и периодичность (не реже одного раза в квартал) представления отчетов об управлении рисками профессионального участника, в том числе отчетов о результатах осуществления профессиональным участником в рамках организации системы управления рисками процессов и мероприятий, предусмотренных главой 2 Требований, органам управления профессионального участника, за исключением отчетов об управлении регуляторным риском;
- порядок управления рисками профессионального участника в случае привлечения профессиональным участником третьих лиц для осуществления ими отдельных процессов и мероприятий в отношении рисков профессионального участника в рамках организации системы управления рисками и рисками, возникающими в связи с таким привлечением;
- периодичность (не реже одного раза в год) и порядок проведения самооценки, порядок оформления ее результатов;
- порядок проведения прямого и обратного стресс-тестирования рисков брокера, включающий в себя периодичность проведения (не реже одного раза в год);
- порядок документального оформления результатов прямого и обратного стресс-тестирования рисков брокера, содержащий описание сценариев и (или) методологию их составления, порядок определения критических значений обязательств клиентов перед брокером, неисполнение которых повлечет неспособность последнего отвечать по своим обязательствам при заданном обесценении и (или) снижении ликвидности имущества клиентов, как находящегося в распоряжении у брокера, так и приобретаемого по сделкам, совершенным по поручениям этих клиентов;
- порядок оценки эффективности функционирования системы управления рисками и принятия решений по вопросам развития (совершенствования) системы управления рисками;
- порядок осуществления клиентским брокером мероприятий по предотвращению, выявлению конфликта интересов и управлению конфликтом интересов в случае возложения функций должностного лица (отдельного структурного подразделения), ответственного за организацию системы управления рисками, на единоличный исполнительный орган клиентского брокера;
- порядок осуществления органами управления профессионального участника контроля за выполнением процессов и мероприятий, предусмотренных главой 2 Требований.
Профессиональный участник пересматривает регламент управления рисками профессионального участника по мере необходимости (не реже одного раза в год) в целях актуализации содержащихся в нем сведений и (или) повышения эффективности функционирования системы управления рисками.