В соответствии с правоприменительной практикой и международными стандартами под понятием «риск» следует понимать следствие влияния факторов неопределённости на достижение поставленных целей организации[1], в связи с чем управление рисками[2] является неотъемлемой частью корпоративного управления и представляет собой комплексный процесс принятия и выполнения решений, направленных на минимизацию вероятности возникновения неблагоприятного результата и уменьшение возможных потерь организации от реализации такого неблагоприятного результата, базирующийся на следующих принципах:
● консервативность (англ. conservatism[3]) – отказ от потенциальных сделок с очень высоким или неопределённым уровнем риска вне зависимости от степени их доходности;
● комплексность (англ. complexity) – единая структура системы управления для всех видов риска;
● дифференцированность (англ. differentiation) – специфика содержания и применения отдельных элементов системы управления рисками применительно к различным типам рисков;
● независимость риск-подразделения (англ. independence of the risk division) от подразделений, инициирующих и осуществляющих банковские операции;
● наличие чётко выстроенного механизма принятия решений по управлению рисками (англ. risk management decision-making mechanism) на основе процедур, закреплённых нормативными правовыми документами организации;
● система многоуровневой отчётности (англ. multilevel reporting system);
● единство информационных технологий (англ. unity of information technologies);
● осуществление многоуровневого контроля эффективности системы управления рисками (англ. implementation of multi-level control of the effectiveness of the risk management system) в рамках системы внутреннего контроля.
В рамках реализации указанного функционала в организации действует система управления рисками, позволяющая определить уровень риска, который организация готова принять на себя, поддержать его приемлемый уровень, обеспечить сохранность и надёжность размещения денежных средств, а также эффективность их использования.
Основными задачами управления рисками являются:
● создание единой непрерывной системы управления рисками с учётом объёмов принимаемых рисков;
● осуществление контрольных процедур, в том числе с точки зрения сохранения баланса между рисками и доходностью проводимых операций;
● проведение мониторинга потенциальных убытков относительно возможностей организации к их покрытию;
● осуществление регулярной оценки действующей системы управления рисками с целью её совершенствования;
● создание адекватных ожидаемым потерям резервов;
● осуществление типовых и исключительных мероприятий по митигации рисков (англ. mitigation)[4];
● поддержка целей бизнеса с учётом изменяющихся рыночных условий;
● выявление потенциальных рисков, их оценка, агрегирование, контроль их уровня;
● оценка и обеспечение достаточности капитала для покрытия существенных рисков, которые могут возникнуть сверх ожидаемого уровня.
Достижение основных задач управления рисками возможно при приемлемых (ограниченных риск-аппетитом[5] организации) уровнях рисков и достаточности капитала.
При определении риск-аппетита организация проводит оценку, устанавливая, насколько применимый риск-аппетит приемлем в текущий период времени и насколько он может быть приемлем в будущем, учитывая:
● ожидания учредителей/акционеров в отношении уровня доходности;
● международные регуляторные стандарты;
● бизнес-план, бюджет доходов и расходов;
● текущий и ожидаемый в будущем объём операций;
● текущую и ожидаемую в будущем структуру значимых рисков;
● текущий и ожидаемый в будущем уровень совокупного капитала.
Система управления рисками включает соответствующие организационную структуру и информационно-методологическую систему, представляющую совокупность инструментов, методов, процедур и способов идентификации, оценки, ограничения, нейтрализации и контроля принимаемых организацией рисков.
Основой системы управления рисками является культура управления рисками, под которой понимается существующая в организации система ценностей и способов поведения, определяющая суть и форму принимаемых в области управления рисками решений. Культура управления рисками оказывает влияние на каждого уполномоченного сотрудника при принятии любого связанного с риском решения, требующего соблюдения баланса между риском и доходностью.
Процесс управления рисками подразделяется на следующие основные этапы:
● Идентификация риска (англ. risk identification) – выявление подверженности сделок либо операций организации различным видам риска, возможности их возникновения, а также определение возможных негативных последствий, выявление факторов, увеличивающих или уменьшающих конкретный вид риска при осуществлении определённых банковских операций.
● Анализ и оценка риска (англ. risk analysis and assessment) – анализ выявленных факторов и определение степени риска и их последствий, при этом в качестве количественных показателей оценки применяются коэффициентный анализ факторов риска, прогнозируемый размер потерь, а также показатели сегментации портфелей тех или иных финансовых инструментов.
● Регулирование риска (англ. risk management) – комплекс мероприятий, применяемых для поддержания приемлемого уровня рисков организации, направленных на их минимизацию и нейтрализацию их возможных последствий, что достигается комплексом мероприятий, предусматривающих диверсификацию, лимитирование[6], хеджирование[7], страхование, резервирование, передачу или распределение риска на контрагента, отказ от заключения сделки/проведения операций с неприемлемо высоким уровнем риска либо продажу активов.
● Мониторинг и контроль рисков (англ. monitoring and control of risks) – процесс регулярного анализа их показателей и факторов их возникновения, а также принятия решений, направленных на минимизацию риска при сохранении необходимого уровня прибыльности планируемой сделки либо операции. Мониторинг рисков проводится на постоянной основе с использованием разработанных организацией методик, а контроль рисков подразделяется на текущий (оперативный) контроль, осуществляемый на постоянной основе владельцем соответствующего бизнес-процесса, и общий контроль, функционирующий в рамках системы внутреннего контроля.
● Отчётность по управлению рисками (англ. risk management reporting) – завершающий этап управления рисками, предусматривающий раскрытие информации об уровне принимаемого риска и инструментарии по управлению им.
Система управления рисками строится как интегрированная система применения следующих инструментов и методов:
● методов идентификации и оценки уровня принимаемых рисков;
● инструментов установления лимитов и ограничений на основные финансовые инструменты и операции, а также процедуры их контроля;
● инструментов хеджирования и страхования рисков;
● методов распределения полномочий и ответственности на всех этапах принятия решений между структурными подразделениями и должностными лицами организации;
● инструментов мониторинга ключевых рисков и их периодической оценки, текущего и последующего контроля качества управления активами/пассивами и уровнем принимаемых рисков;
● инструментов составления и анализа отчётности об оценочных триггерах и принимаемых рисках;
● инструментов информационно-технологического обеспечения возможности учёта сделок/операций, подверженных рискам.
Управление рисками базируется на принципах открытости, осторожности, а также основывается на:
● осведомлённости о риске (англ. risk awareness), при которой все сотрудники организации, осуществляющие операции, сопряжённые с риском, осведомлены о риске операций, обладают необходимыми навыками его идентификации, анализа и оценки и минимизации[8];
● принципе обеспечения т. н. «трёх линий защиты» (англ. three lines of defense), состоящих из:
• первой линии (принятие рисков) (англ. first line (risk taking), в которой структурные подразделения, принимающие риски (бизнес-подразделения), должны стремиться к достижению поставленных задач по развитию бизнеса с учётом оптимального соотношения доходности и риска, осуществлять мониторинг решений по принятию риска, учитывать профили рисков, внедрять эффективные бизнес-процессы, участвовать в процессах идентификации и оценки рисков, соблюдать требования нормативных правовых документов;
• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;
• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.
Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам риска, и её главной целью является необходимость в определении:
● процесса идентификации[9] рисков и его периодичности;
● базы типов риска;
● реестра идентифицируемых рисков;
● методов оценки и выявления значимых рисков;
● состава и процесса составления карты рисков[10].
Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы[11] риска, а также его величины[12].
Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.
Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.
Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения[13], выделяет следующие методы идентификации рисков:
● анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;
● анализ заключений рейтинговых агентств;
● анализ результатов внешних и внутренних проверок деятельности организации;
● анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;
● совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;
● самооценка через анализ так называемых чек-листов (контрольных листов);
● сценарный анализ.
Как уже указывалось выше, одним из основных инструментариев в части идентификации рисков является составление так называемой карты рисков, ведущейся в разрезе всех существующих видов риска, с учётом следующих показателей:
● название риска (приводится полное название риска в соответствии с применяемой градацией по их типу);
● источники возникновения риска (приводится описание основных инструментов/продуктов, процессов организации, её клиентов или контрагентов, которые могут сгенерировать возникновения риска);
● факторы вероятности риска (приводится описание события и/ или явления, оказывающего влияние на вероятность реализации риска);
● вероятность наступления риска (приводится описание оценочной категории вероятности появления риска, исходя из источников возникновения риска и факторов вероятности риска);
● значимость риска (показатель определяет, является ли риск значимым или нет, а также, в случае если риск является незначимым, относится ли он к деятельности организации в целом либо её отдельному направлению деятельности/продукту/услуге);
● мероприятия воздействия на риск (даётся описание основных подходов по купированию имеющегося либо возможного риска);
● ответственные за мероприятия воздействия на риск (указываются структурные подразделения организации, ответственные за идентификацию того или иного риска и его лимитирование);
● мониторинг риска (указываются основные мероприятия по мониторингу уровня рисков, имеющиеся отчёты и порядок их предоставления);
● даты внесения записи и/или последнего изменения записи.
Карта риска обновляется на постоянной основе, но не реже 1 раза в год.
Что касается лимитирования, то оно является основной составной частью системы управления рисками в организации и в целях минимизации возможных убытков рассматривается как один из методов превентивного купирования рисков.
Основными целями лимитирования является ограничение рисков, направленное на:
● повышение финансовой устойчивости организации;
● оптимизацию соотношения «риск – доходность» по операциям/сделкам;
● формирование оптимальной структуры активов и пассивов с учётом структуры и объёма принятых рисков.
Целью лимитирования является ограничение риска по следующим видам активных операций:
● операции на валютном и денежном рынках;
● кредитно-депозитные операции на межбанковском рынке;
● кредиты (займы), предоставленные корпоративным заёмщикам;
● синдицированное кредитование;
● операции, связанные с осуществлением документарных операций;
● операции торгового финансирования[14];
● операции с ценными бумагами;
● операции, осуществляемые в соответствии с договором финансирования под уступку денежного требования (факторинг);
● требования по сделкам продажи (покупки) финансовых активов с отсрочкой платежа (поставки финансовых активов);
● прочие операции, сопряжённые с кредитным риском (в том числе дебиторская задолженность, прочие требования по финансово-хозяйственным операциям).
Задачами лимитирования являются:
● обеспечение формирования и функционирования системы лимитирования рисков как составной части системы управления в целом;
● определение структуры и объёма принимаемых рисков;
● определение полномочий органов управления, должностных лиц и подразделений организации в процессе лимитирования рисков.
Лимиты устанавливаются на корпоративных заёмщиков, финансовые организации, эмитентов ценных бумаг (юридические лица, органы исполнительной власти или органы местного самоуправления) и другие организации, в отношении которых возникают требования, несущие риск.
Основными лимитами являются:
● показатель достаточности капитала;
● лимит на максимальный объём требований на одного заёмщика (группу взаимосвязанных заёмщиков)[15];
● структурные лимиты[16];
● страновые лимиты[17];
● лимиты открытых позиций, в том числе лимиты открытой валютной позиции (ОВП)[18], лимиты предельных размеров лимитов и прибыли;
● персональные лимиты полномочий по операциям на рынке капитала, а также полномочий по определению стоимостных параметров операций торгового финансирования[19].
Все операции/сделки организации осуществляются ей исключительно в рамках установленных лимитов, параметры которых указываются в так называемой лимитной ведомости, отображающей структуру лимитов на контрагентов и являющейся внутренней закрытой информацией организации, не подлежащей разглашению третьим лицам.
О проекте
О подписке