Основные принципы комплаенс-контроля
Шрифт:
? Мониторинг и контроль рисков (англ. monitoring and control of risks) – процесс регулярного анализа их показателей и факторов их возникновения, а также принятия решений, направленных на минимизацию риска при сохранении необходимого уровня прибыльности планируемой сделки либо операции. Мониторинг рисков проводится на постоянной основе с использованием разработанных организацией методик, а контроль рисков подразделяется на текущий (оперативный) контроль, осуществляемый на постоянной основе владельцем соответствующего бизнес-процесса, и общий контроль, функционирующий в рамках системы внутреннего контроля.
? Отчётность по управлению рисками (англ. risk management reporting) – завершающий этап управления рисками, предусматривающий раскрытие
Система управления рисками строится как интегрированная система применения следующих инструментов и методов:
? методов идентификации и оценки уровня принимаемых рисков;
? инструментов установления лимитов и ограничений на основные финансовые инструменты и операции, а также процедуры их контроля;
? инструментов хеджирования и страхования рисков;
? методов распределения полномочий и ответственности на всех этапах принятия решений между структурными подразделениями и должностными лицами организации;
? инструментов мониторинга ключевых рисков и их периодической оценки, текущего и последующего контроля качества управления активами/пассивами и уровнем принимаемых рисков;
? инструментов составления и анализа отчётности об оценочных триггерах и принимаемых рисках;
? инструментов информационно-технологического обеспечения возможности учёта сделок/операций, подверженных рискам.
Управление рисками базируется на принципах открытости, осторожности, а также основывается на:
? осведомлённости о риске (англ. risk awareness), при которой все сотрудники организации, осуществляющие операции, сопряжённые с риском, осведомлены о риске операций, обладают необходимыми навыками его идентификации, анализа и оценки и минимизации [8] ;
? принципе обеспечения т. н. «трёх линий защиты» (англ. three lines of defense), состоящих из:
• первой линии (принятие рисков) (англ. first line (risk taking), в которой структурные подразделения, принимающие риски (бизнес-подразделения), должны стремиться к достижению поставленных задач по развитию бизнеса с учётом оптимального соотношения доходности и риска, осуществлять мониторинг решений по принятию риска, учитывать профили рисков, внедрять эффективные бизнес-процессы, участвовать в процессах идентификации и оценки рисков, соблюдать требования нормативных правовых документов;
8
При этом проведение операции производится только после всестороннего анализа рисков, возникающих в результате её реализации.
• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;
• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.
1.2. Методика идентификации рисков и их лимитирование
Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам
? процесса идентификации [9] рисков и его периодичности;
? базы типов риска;
? реестра идентифицируемых рисков;
? методов оценки и выявления значимых рисков;
? состава и процесса составления карты рисков [10] .
Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы [11] риска, а также его величины [12] .
9
Выявление подверженности операций или сделок различным видам риска, возможности их возникновения, а также определение возможных негативных последствий, выявление факторов, увеличивающих или уменьшающих конкретный вид риска при осуществлении определённых операций либо сделок.
10
Список присущих рисков с описанием источников риска, вероятностей риска, мероприятий воздействия на риск и т. д.
11
Случайная величина (или событие), непосредственно влияющая на текущий уровень величины риска.
12
Стоимостная оценка подверженности риску, которая может выражаться как сумма возможных потерь вследствие изменения факторов риска.
Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.
Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.
Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения [13] , выделяет следующие методы идентификации рисков:
? анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;
? анализ заключений рейтинговых агентств;
? анализ результатов внешних и внутренних проверок деятельности организации;
13
Далее к таким практикам и стандартам будет применяться термин «best practice».
? анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;
? совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;
? самооценка через анализ так называемых чек-листов (контрольных листов);