• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;

• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.

Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам риска, и её главной целью является необходимость в определении:

● процесса идентификации[9] рисков и его периодичности;

● базы типов риска;

● реестра идентифицируемых рисков;

● методов оценки и выявления значимых рисков;

● состава и процесса составления карты рисков[10].

Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы[11] риска, а также его величины[12].

Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.

Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.

Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения[13], выделяет следующие методы идентификации рисков:

● анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;

● анализ заключений рейтинговых агентств;

● анализ результатов внешних и внутренних проверок деятельности организации;

● анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;

● совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;

● самооценка через анализ так называемых чек-листов (контрольных листов);

● сценарный анализ.

Как уже указывалось выше, одним из основных инструментариев в части идентификации рисков является составление так называемой карты рисков, ведущейся в разрезе всех существующих видов риска, с учётом следующих показателей:

● название риска (приводится полное название риска в соответствии с применяемой градацией по их типу);

● источники возникновения риска (приводится описание основных инструментов/продуктов, процессов организации, её клиентов или контрагентов, которые могут сгенерировать возникновения риска);

● факторы вероятности риска (приводится описание события и/ или явления, оказывающего влияние на вероятность реализации риска);

● вероятность наступления риска (приводится описание оценочной категории вероятности появления риска, исходя из источников возникновения риска и факторов вероятности риска);

● значимость риска (показатель определяет, является ли риск значимым или нет, а также, в случае если риск является незначимым, относится ли он к деятельности организации в целом либо её отдельному направлению деятельности/продукту/услуге);

● мероприятия воздействия на риск (даётся описание основных подходов по купированию имеющегося либо возможного риска);

● ответственные за мероприятия воздействия на риск (указываются структурные подразделения организации, ответственные за идентификацию того или иного риска и его лимитирование);

● мониторинг риска (указываются основные мероприятия по мониторингу уровня рисков, имеющиеся отчёты и порядок их предоставления);

● даты внесения записи и/или последнего изменения записи.

Карта риска обновляется на постоянной основе, но не реже 1 раза в год.

Что касается лимитирования, то оно является основной составной частью системы управления рисками в организации и в целях минимизации возможных убытков рассматривается как один из методов превентивного купирования рисков.

Основными целями лимитирования является ограничение рисков, направленное на:

● повышение финансовой устойчивости организации;

● оптимизацию соотношения «риск – доходность» по операциям/сделкам;

● формирование оптимальной структуры активов и пассивов с учётом структуры и объёма принятых рисков.

Целью лимитирования является ограничение риска по следующим видам активных операций:

● операции на валютном и денежном рынках;

● кредитно-депозитные операции на межбанковском рынке;

● кредиты (займы), предоставленные корпоративным заёмщикам;

● синдицированное кредитование;

● операции, связанные с осуществлением документарных операций;

● операции торгового финансирования[14];

● операции с ценными бумагами;

● операции, осуществляемые в соответствии с договором финансирования под уступку денежного требования (факторинг);

● требования по сделкам продажи (покупки) финансовых активов с отсрочкой платежа (поставки финансовых активов);

● прочие операции, сопряжённые с кредитным риском (в том числе дебиторская задолженность, прочие требования по финансово-хозяйственным операциям).

Задачами лимитирования являются:

● обеспечение формирования и функционирования системы лимитирования рисков как составной части системы управления в целом;

● определение структуры и объёма принимаемых рисков;

● определение полномочий органов управления, должностных лиц и подразделений организации в процессе лимитирования рисков.

Лимиты устанавливаются на корпоративных заёмщиков, финансовые организации, эмитентов ценных бумаг (юридические лица, органы исполнительной власти или органы местного самоуправления) и другие организации, в отношении которых возникают требования, несущие риск.

Основными лимитами являются:

● показатель достаточности капитала;

● лимит на максимальный объём требований на одного заёмщика (группу взаимосвязанных заёмщиков)[15];

● структурные лимиты[16];

● страновые лимиты[17];

● лимиты открытых позиций, в том числе лимиты открытой валютной позиции (ОВП)[18], лимиты предельных размеров лимитов и прибыли;