"Руководство по созданию (совершенствованию) системы мер управления рисками деятельности по ведению реестра"
Утверждено
Советом директоров ПАРТАД
(протокол N 06/2011 от 21.09.2011)
Согласовано
ФСФР России
(исх. N 11-СХ-02/29590 от 16.11.2011)
РУКОВОДСТВО
ПО СОЗДАНИЮ (СОВЕРШЕНСТВОВАНИЮ) СИСТЕМЫ МЕР УПРАВЛЕНИЯ
РИСКАМИ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
1. Общие положения
Руководство по созданию (совершенствованию) системы мер управления рисками деятельности по ведению реестра (далее - Руководство) определяет основные принципы организации, реализации и контроля процессов управления рисками в организации. Руководством определены первоочередные действия по выстраиванию системы мер управления рисками.
Управление рисками деятельности по ведению реестра в соответствии с данным Руководством позволит снизить возможные потери, как самой организации, так и ее клиентов. Реализация рисков регистраторской деятельности может создавать угрозу финансовой устойчивости организации, а также оказывать негативное влияние на состояние учетной системы и финансового рынка в целом.
В соответствии с Руководством профессиональный участник, осуществляющий деятельность по ведению реестра, определяет цели и задачи управления рисками, принципы и требования к функционированию системы управления рисками, организационную структуру управления рисками, принципы финансирования системы мер управления рисками, ключевые индикаторы риска.
Управление рисками осуществляется должностным лицом - руководителем подразделения управления рисками. Система мер управления рисками может являться частью системы внутреннего контроля организации. В этом случае управление рисками возлагается на контролера организации, либо на структурное подразделение под руководством контролера. Организации рекомендуется оценить целесообразность создания подразделения (назначения дополнительного сотрудника), отвечающего за координацию и централизацию управления операционными рисками.
Порядок взаимодействия службы управления рисками и службы внутреннего контроля определяется соответствующим регламентом, утвержденным руководителем организации.
Руководство разработано на основе изучения и обобщения сложившейся практики управления рисками учетных институтов, типовых нарушений, выявляемых в ходе проверок регистраторов, судебной практики, практики страхования и урегулирования убытков учетных институтов, международных требований к управлению операционными рисками, учитывает положения концептуальных основ управления рисками, в том числе рекомендации Базельского комитета по банковскому надзору.
Документ предназначен для руководителей и специалистов всех уровней управления организации, ее структурных подразделений, филиалов, а также других участников процессов управления рисками и заинтересованных сторон.
Представленные в данном Руководстве перечни документов, методика оценки рисков, классификатор рисков деятельности по ведению реестра, перечень ключевых индикаторов рисков предлагаются к использованию всеми организациями, осуществляющими деятельность по ведению реестра владельцев именных ценных бумаг (далее - организация), формирующими систему мер управления рисками. При этом, организация вправе самостоятельно разрабатывать соответствующие документы и/или использовать уже утвержденные ее внутренние документы по управлению рисками, в том случае, если они позволяют достичь результатов, соответствующих требованиям данного Руководства.
Система мер управления рисками деятельности по ведению реестра конкретной организации, созданная до принятия настоящего Руководства, должна быть оформлена внутренними документами организации, регламентирующими деятельность по управлению рисками, содержать формы отчетности службы управления рисками, документы, подтверждающие эффективность ее функционирования и поясняющие соответствие применяемой системы мер управления рисками деятельности по ведению реестра требованиям настоящего Руководства.
2. Основные термины, определения и сокращения
Владелец риска - руководитель подразделения, на стратегические или операционные цели которого оказывает прямое влияние данный риск. Владелец риска отвечает за идентификацию, оценку и мониторинг управления риском и назначается руководителем организации.
Внутренний контроль - контроль за соответствием деятельности организации требованиям законодательства Российской Федерации о рынке ценных бумаг, в том числе нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг, законодательства Российской Федерации о защите прав и законных интересов инвесторов на рынке ценных бумаг, законодательства Российской Федерации о рекламе, а также соблюдением внутренних документов профессионального участника, связанных с его деятельностью на рынке ценных бумаг.
Классификатор рисков - перечень рисков с ключевой информацией по ним, которые далее могут быть конкретизированы посредством детализации информации об объектах, подверженных данным рискам, субъектах влияния рисков, сроках, нормативных актах, проектах, контрагентах и другой релевантной информацией, дающей полное понимание рассматриваемой рисковой области.
Ключевые индикаторы рисков (КИР) - количественные или качественные показатели источников (факторов) риска. Данные показатели характеризуют концентрацию рисков, в том числе накопившиеся негативные события в соответствующем подразделении организации.
Координатор системы мер управления рисками (СУР) - сотрудник функционального подразделения/службы, ответственный за мониторинг и предоставление информации по операционным рискам руководителю управления рисками.
Матрица рисков деятельности по ведению реестра - таблица, используемая для оценки уровня указанных в ней групп рисков.
Операционный риск - риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, противоправными действиями либо с внешними событиями (согласно решению Базельского комитета по банковскому надзору - Section 644, Basel II, 2004 г.).
Паспорт риска - документ, содержащий необходимую информацию о риске, включая источник риска, владельца риска, мероприятия по управлению риском, процедуры реагирования, КИР.
Последствия риска - события, которые наиболее вероятно наступят после реализации риска. Последствия риска выражаются во влиянии на эффективность и сроки исполнения задач, финансовый результат, репутацию, надежность предоставления услуг, человеческие ресурсы и другие факторы достижения стратегических и операционных целей организации.
Руководитель подразделения управления рисками - лицо, ответственное за координацию процессов управления рисками организации и его филиалов, в частности, сбор и актуализацию информации о рисках, консультирование владельцев рисков по методологии управления рисками, обеспечение информацией заинтересованных сторон.
Система мер управления рисками (СУР) - совокупность процессов, методик, информационных систем, направленных на достижение целей и задач управления рисками. Система мер управления рисками регистратора должна соответствовать виду деятельности и характеру операций, а также должна включать механизм мониторинга рисков, обеспечивающий своевременное доведение информации до сведения органов управления организации.
Страховая сумма (лимит ответственности) - размер денежных средств, указанный в договоре страхования (полисе), в пределах которого страховщик несет ответственность перед страхователем.
Субъекты внутреннего контроля - Совет директоров, Генеральный директор (Правление), подразделение внутреннего контроля, служба управления рисками, а также подразделения и сотрудники организации и филиалов, ответственные за выполнение закрепленных за ними (внутренними документами организации) функций внутреннего контроля и управления рисками.
Целевые показатели по ограничению рисков - показатели, рассчитанные на основе статистических данных за предыдущий отчетный период деятельности организации, определяющие допустимый уровень риска.
3. Система мер управления рисками (СУР)
СУР включает в себя цели, задачи, принципы, приоритетные области в управлении рисками, классификатор рисков деятельности по ведению реестра.
3.1. Цели и задачи СУР
Цели и задачи СУР представлены в таблице 1.
Таблица 1. Цели и задачи СУР
3.2. Принципы и требования к функционированию СУР
СУР организации создается в соответствии со следующими принципами:
- управление рисками осуществляется, исходя из поставленных на уровне стратегии развития организации целей, а также целей конкретных процессов и функций;
- управление рисками осуществляется на постоянной основе, на всех этапах проведения операций в реестрах;
- решения о минимизации рисков принимаются на различных уровнях управления организации в зависимости от значимости рисков;
- в процесс управления рисками организации вовлечены руководители и сотрудники структурных подразделений;
- наличие в организации формализованного процесса управления рисками (регламенты, должностные инструкции);
- осуществление контроля (административного и финансового) за соблюдением установленных в организации процедур, в соответствии с требованиями документов, регламентирующих СУР организации;
- информационное обеспечение СУР осуществляется с использованием единого маршрута движения информации:
а) движение информации о рисках для принятия решений осуществляется от более низких уровней управления к более высоким;
б) решения по минимизации рисков, а также контроль управления рисками распространяется от более высоких уровней управления к более низким.
СУР разрабатывается и функционирует в соответствии со следующими требованиями:
1. Наличие подразделения и/или должностного лица по управлению рисками.
2. Наличие регламента деятельности подразделения и/или должностного лица по управлению рисками.
3. Наличие методики оценки рисков деятельности по ведению реестра.
4. Наличие разработанного классификатора рисков деятельности по ведению реестра.
5. Ведение базы данных по группам рисков деятельности по ведению реестров, а также наличие первичных документов для ведения базы данных (например, Паспорт риска).
6. Наличие плана мероприятий организации по управлению рисками деятельности по ведению реестра.
7. Составление с установленной периодичностью отчетности по рискам деятельности по ведению реестра.
8. Утверждение показателей контроля эффективности управления рисками деятельности по ведению реестра (например, ключевые индикаторы риска).
9. Наличие договора страхования деятельности по ведению реестра, отвечающего Условиям регистрации договоров страхования регистраторов - членов ПАРТАД.
3.3. Классификатор рисков деятельности по ведению реестра
Ключевым основанием для классификации рисков организации являются ее функциональные области деятельности. Для упрощения идентификации рисков предлагается использовать примерный Классификатор рисков деятельности по ведению реестра (приложение 1).
Риски деятельности по ведению реестра рекомендуется классифицировать на случаи убытков вследствие:
- ошибок и/или ненадлежащего исполнения обязанностей сотрудниками;
- противоправных действий сотрудников и/или третьих лиц (включая электронные и компьютерные преступления);
- сбоев, повреждений электронного и/или компьютерного оборудования, программного обеспечения;
- гибели, повреждения документов и архива в результате затопления, пожара и т.д.;
- ненадлежащих действий клиентов и/или контрагентов регистратора/депозитария;
- неоднозначной и/или недостаточной правовой базы для осуществления профессиональной деятельности (правовые риски).
3.4. Методика оценки уровня рисков деятельности по ведению реестра
Предлагаемая методика оценки рисков деятельности по ведению реестра (далее - Методика) основана на балльно-весовом методе заполнения Матрицы рисков деятельности по ведению реестра. В рамках применяемого балльно-весового метода выделяются группы рисков и определяются их относительные значимости - присваиваются весовые коэффициенты (таблица 2).
В соответствии с примерным Классификатором рисков деятельности по ведению реестра, риски группируются в зависимости от масштабов потерь при их реализации и последующих убытков. В данной Методике оценка рисков осуществляется по 3-ступенчатой шкале, в которой каждой группе рисков присваивается коэффициент риска (ГРi): 3 - максимальный, 2 - средний, 1 - минимальный. В дальнейшем возможна детализация рисков и, соответственно, использование шкалы с коэффициентом, например, от 1 до 5 и т.д.
Таблица 2. Группировка рисков деятельности по ведению
реестра в зависимости от тяжести последствий их реализации
Для построения Матрицы рисков деятельности по ведению реестра необходимо учитывать вероятность реализации той или иной группы рисков. В случае отсутствия выявленных нарушений, сбоев, ошибок, противоправных действий по соответствующей группе рисков, указанной группе присваивается коэффициент вероятности их реализации 0,1 (минимальная вероятность), при однократном выявлении - 1 (средняя вероятность), при более чем однократном - 2 (высокая вероятность). Элементы Матрицы рисков заполняются на основании данных Паспорта рисков (приложение 2), либо иных исходных документов.
Для формирования Матрицы рисков деятельности по ведению реестра используется формула 1:
, (1)
Где:
- уровень риска по группе i;
- коэффициент риска;
- коэффициент вероятности.
Таблица 3. Матрица рисков деятельности по ведению реестра
После формирования Матрицы рисков выявляется зона максимального риска в деятельности организации и разрабатывается комплекс мероприятий по снижению рисков, в том числе:
- план мероприятий по модернизации, совершенствованию системы внутреннего контроля, службы управления рисками и/или соответствующих служб организации, выполняющих функции по обеспечению надежности осуществления деятельности организации;
- обоснование страхового лимита по договору страхования профессиональной деятельности;
- обоснование размеров ежегодных отчислений в компенсационный фонд.
4. Мониторинг рисков и информационное обеспечение системы мер управления рисками. План мероприятий по управлению рисками деятельности по ведению реестра
Процесс управления рисками деятельности по ведению реестра начинается с их идентификации в соответствии с Классификатором рисков и осуществляется на всех уровнях управления организации.
При идентификации риска определяется следующая информация:
- наименование риска;
- описание риска;
- источники риска;
- последствия риска;
- владелец риска и лицо, предоставляющее информацию по риску;
- ключевые индикаторы риска.
Полученная информация вносится в Паспорт риска (приложение 2) либо в иные внутренние документы регистратора. Мониторинг рисков заключается в контроле над уровнем риска. Это достигается путем актуализации на регулярной основе (ежеквартально) информации о рисках (в т.ч. сведений о претензиях, результатах проверок и т.д.), о мероприятиях по управлению рисками, о статусе выполнения мероприятий, а также мониторингом значений ключевых индикаторов риска (КИР). Отслеживание КИР всех подразделений организации выполняется подразделением управления рисками и/или службой внутреннего контроля на регулярной основе, в зависимости от значимости рисков и уровня принятия решения об управлении риском.
Результаты мониторинга рисков должны содержаться в виде базы данных, реализованной на любой информационной платформе (в т.ч. средствами MS Office). База данных о рисках представляет собой полный спектр связанной информации, которая может быть представлена в виде перечня рисков и Паспорта каждого из рисков.
Информация о рисках используется в процессе принятия решений. Данный принцип означает, что информация о рисках, их величине, текущих и возможных мероприятиях по управлению рисками доступна и может быть предоставлена по первому требованию (при наличии обоснования использования такой информации) любому должностному лицу организации в рамках его компетенции.
Порядок внесения информации и ведения базы данных по рискам разрабатывается руководителем подразделения управления рисками и утверждается руководителем организации. Принятие решения о степени и глубине автоматизации процесса управления рисками остается на усмотрение руководителя организации.
На основе проведения мониторинга рисков разрабатывается годовой План мероприятий по управлению рисками деятельности по ведению реестра (Приложение 3), Целевые показатели по ограничению рисков деятельности по ведению реестра (Приложение 4).
План мероприятий содержит наименование мероприятия, ответственное лицо и подразделение, срок исполнения и/или периодичность и т.д.
Целевые показатели организации по ограничению рисков могут быть соотнесены с КИР: например, отклонение (невыполнение) плана по тем или иным целевым показателям деятельности организации может рассматриваться в качестве КИР.
5. Распределение полномочий и ответственности за эффективное функционирование системы мер управления рисками деятельности по ведению реестра
5.1. Уровни управления рисками
Управление рисками в организации должно быть многоуровневым и делится, согласно уровням организационного управления организации, как правило, следующим образом:
- уровень Совета директоров организации;
- уровень Правления либо Генерального директора организации;
- уровень линейного менеджмента (руководители структурных подразделений).
Для каждого из уровней СУР существует порог принятия решения, который является предельной величиной риска, при превышении которой принятие решения по управлению риском передается на следующий вышестоящий уровень.
5.2. Организационная структура управления рисками
Организационная структура управления рисками соответствует уровням управления организации.
В организации функции по координации процессов управления рисками, сбору информации, консультированию владельцев рисков по методологии управления рисками осуществляет руководитель подразделения по управлению рисками, а также координаторы СУР в составе соответствующих подразделений (внутреннего контроля, юридической службы, финансовой службы, IT подразделения, службы безопасности, аудита и т.д.). В филиалах организации назначаются ответственные за сбор информации по рискам - координаторы СУР.
Координаторы СУР и руководитель подразделения управления рисками организации осуществляют свою деятельность на основе единых подходов и методик. Координаторы управления рисками в филиалах функционально подотчетны руководителю службы управления рисками организации.
5.3. Роли и ответственность участников СУР
Роли и ответственность распределяются в СУР следующим образом:
Генеральный директор (Правление) организации определяет:
- состав, порядок и сроки разработки внутренних документов организации в области управления рисками;
- распределяет полномочия между структурными подразделениями в сфере управления рисками;
- обеспечивает разграничение должностных обязанностей и их исполнение на всех уровнях;
- обеспечивает принятие необходимых управленческих решений для реализации СУР организации.
Ответственность за эффективность СУР несет Генеральный директор (Правление) организации.
Ответственность за решение кросс-функциональных (межпроцессных или выполняемых одновременно несколькими функциональными подразделениями) задач по управлению рисками, а также формирование бюджетов на мероприятия по управлению рисками также несет Генеральный директор (Правление) организации.
Руководитель подразделения управления рисками обеспечивает:
- разработку и/или апробацию методики оценки и проведение оценки риска;
- определение основных групп рисков в деятельности организации;
- ведение информационной базы по рискам;
- заполнение Матрицы рисков организации;
- подготовку отчетности по СУР;
- выполнение плана мероприятий по управлению рисками;
- разработку предложений по снижению вероятности реализации того или иного вида риска (совместно со структурными подразделениями);
- проведение экспертиз рисков в проектах развития организации;
- контроль организации работы по снижению уровня разных видов рисков;
- проведение проверок соблюдения требований в управлении рисками со стороны подразделений организации, координаторов рисков в филиалах;
- пересмотр на регулярной основе существующих внутренних процессов и процедур, используемых информационно-технологических систем с целью выявления не учтенных ранее источников риска.
Ответственность за своевременное выявление, оценку рисков, разработку и выполнение мероприятий, мониторинг рисков, а также за своевременное и полное обеспечение информацией о рисках всех заинтересованных участников СУР несет руководитель подразделения управления рисками.
Координаторы СУР обеспечивают:
- выявление и оценку рисков соответствующего подразделения;
- исполнение мероприятий в соответствии с Планом мероприятий по СУР;
- своевременную передачу информации о рисках и мероприятиях по управлению ими руководителю подразделения управления рисками;
- фиксацию и передачу информации о реализовавшихся рисках в соответствующем подразделении.
5.4. Принципы финансирования СУР
При обосновании и планировании бюджета при организации (или совершенствовании) СУР необходимо учитывать, что финансирование должно быть направлено как на снижение рисков деятельности (повышение квалификации сотрудников, создание и ведение информационных баз данных; материально-техническое обеспечение и т.д.), так и на уменьшение финансовых последствий при реализации рисков.
Для снижения уровня финансовых последствий для организации, на случай реализации рисков деятельности по ведению реестра, помимо собственных средств, для покрытия возможных убытков могут быть использованы:
- комплексное страхование профессиональной деятельности регистратора (в соответствии с Программой разработки и внедрения системы мер снижения рисков, связанных с профессиональной деятельностью организаций - членов ПАРТАД, утвержденной решением Совета директоров ПАРТАД (протокол N 07/2006 от 19.10.2006));
- участие в компенсационных фондах СРО (по мере принятия соответствующих решений Советом директоров ПАРТАД).
На основании Матрицы рисков деятельности по ведению реестра по формуле 2 рассчитывается K(риск)орг - показатель уровня рисков в организации,
, (2)
где:
- суммарное значение уровней рисков по всем группам (за исключением риска регулирования и правового риска), выявленных в организации;
N - число выявленных рисков (за исключением риска регулирования и правового риска).
Для определения необходимого страхового лимита (таблица 4) показатель уровня рисков в организации сравнивается с минимальным, среднеотраслевым и критическим значениями уровня рисков деятельности по ведению реестра. В соответствии с Матрицей рисков деятельности по ведению реестра (табл. 3), минимальный уровень риска деятельности по ведению реестра (без учета рисков регулирования и правовых рисков) составляет K(риск)min = 0,2, а максимальный - K(риск)max = 4.
Среднеотраслевой уровень риска деятельности по ведению реестра, в соответствии с экспертной оценкой, составляет: K(риск)industry = 1,7.
В том случае, если уровень риска организации превышает 3 балла (например, зафиксирована попытка противоправного действия, а ошибки сотрудников, сбои, повреждения программного обеспечения, риски контрагентов были обнаружены более одного раза за отчетный период), необходимо применять максимальные требования к лимиту ответственности по договору страхования рисков деятельности по ведению реестра.
Таблица 4. Шкала для расчета лимита страхования по договору
страхования деятельности по ведению реестра
Лимит страхования может быть скорректирован в зависимости от средней суммы одной сделки, среднего количества передаточных распоряжений за период, степени использования электронного документооборота и т.д.
В случае необходимости выдачи организации ходатайства СРО о снижении норматива достаточности собственных средств путем зачета страхового лимита по договору страхования профессиональной деятельности минимальный размер лимита должен быть увеличен с учетом необходимого для выдачи ходатайства страхового лимита.
6. Отчетность по рискам
6.1. Документы СУР деятельности по ведению реестра
Разработка документов СУР организации должна осуществляется на основе требований Руководства и не противоречить ему. В таблице 5 представлен рекомендуемый перечень документации СУР и ее назначение.
Таблица 5. Перечень документов СУР
Помимо перечисленных в таблице 5 документов, организации следует разработать Регламент по управлению рисками, содержащий описание распределения полномочий, порядка сбора информации, ведения информационной базы, предоставления отчетности, ответственных по проведению процедур в рамках системы управления рисками.
6.2. Протоколы и отчеты
Отчетность СУР должна обеспечивать решение задач управления рисками и предназначена для полноценного и прозрачного обмена информацией о рисках и информирования о них должностных лиц организации.
В таблице 6 представлен рекомендуемый перечень отчетных документов и их назначение.
Таблица 6. Отчетные документы СУР
6.3. Оценка эффективности управления рисками и ключевые индикаторы риска деятельности по ведению реестра
Оценка эффективности управления рисками в организации осуществляется на основании:
- анализа динамики изменения оценки рисков;
- анализа целостности и полноты действий по снижению рисков;
- динамики изменения ключевых индикаторов риска;
- анализ затрат на финансирование СУР, фактических убытков от реализации рисков, возможных предотвращенных убытков за счет применения СУР.
КИР представляет собой показатель, характеризующий фактор (источник) риска, при этом, в общем случае, не являясь его оценкой. Примером КИР может служить количество (либо доля в общей массе событий) отказов техники, сбоев программного обеспечения, задержек исполнения операций, судебных исков, негативных публикаций в прессе и т.п. за период.
КИР разрабатываются руководителем службы управления рисков и координаторами СУР и утверждаются Генеральным директором (Правлением). Контроль над корректностью расчета КИР осуществляют подразделения внутреннего контроля и службы управления рисками. Примерный перечень КИР для деятельности по ведению реестра представлен в Приложении 5.
После выбора КИР организации следует провести их тестирование, например, с помощью системы внутренних рейтингов (путем присвоения баллов от 1 до 5). Индикаторы, относящиеся к определенному подразделению, оцениваются сотрудниками именно этого подразделения. Индикаторы, набравшие средний балл менее 4, предлагается исключать из дальнейшего анализа.
В результате проведенного анализа индикаторов для каждого вида риска определяются 1 - 2 КИРа, для которых определяются пороговые значения. Для мониторинга каждого КИР должно быть назначено ответственное лицо (руководитель подразделения или координатор СУР).
Приложение 1
ПРИМЕРНЫЙ КЛАССИФИКАТОР
РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
Приложение 2
Паспорт риска
Приложение 3
Примерный план
мероприятий по системе мер снижения рисков
с 01.01.201_ по 31.12.201_
Приложение 4
ПРИМЕРНЫЕ ЦЕЛЕВЫЕ ПОКАЗАТЕЛИ
ПО ОГРАНИЧЕНИЮ РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
Приложение 5
Примерный перечень
ключевых индикаторов риска деятельности по ведению реестра
Приложение 6
ПРИМЕР
ЗАПОЛНЕНИЯ МАТРИЦЫ РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА