• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;
• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.
1.2. Методика идентификации рисков и их лимитирование
Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам риска, и её главной целью является необходимость в определении:
● процесса идентификации[9] рисков и его периодичности;
● базы типов риска;
● реестра идентифицируемых рисков;
● методов оценки и выявления значимых рисков;
● состава и процесса составления карты рисков[10].
Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы[11] риска, а также его величины[12].
Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.
Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.
Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения[13], выделяет следующие методы идентификации рисков:
● анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;
● анализ заключений рейтинговых агентств;
● анализ результатов внешних и внутренних проверок деятельности организации;
● анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;
● совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;
● самооценка через анализ так называемых чек-листов (контрольных листов);
● сценарный анализ.
Как уже указывалось выше, одним из основных инструментариев в части идентификации рисков является составление так называемой карты рисков, ведущейся в разрезе всех существующих видов риска, с учётом следующих показателей:
● название риска (приводится полное название риска в соответствии с применяемой градацией по их типу);
● источники возникновения риска (приводится описание основных инструментов/продуктов, процессов организации, её клиентов или контрагентов, которые могут сгенерировать возникновения риска);
● факторы вероятности риска (приводится описание события и/ или явления, оказывающего влияние на вероятность реализации риска);
● вероятность наступления риска (приводится описание оценочной категории вероятности появления риска, исходя из источников возникновения риска и факторов вероятности риска);
● значимость риска (показатель определяет, является ли риск значимым или нет, а также, в случае если риск является незначимым, относится ли он к деятельности организации в целом либо её отдельному направлению деятельности/продукту/услуге);
● мероприятия воздействия на риск (даётся описание основных подходов по купированию имеющегося либо возможного риска);
● ответственные за мероприятия воздействия на риск (указываются структурные подразделения организации, ответственные за идентификацию того или иного риска и его лимитирование);
● мониторинг риска (указываются основные мероприятия по мониторингу уровня рисков, имеющиеся отчёты и порядок их предоставления);
● даты внесения записи и/или последнего изменения записи.
Карта риска обновляется на постоянной основе, но не реже 1 раза в год.
Что касается лимитирования, то оно является основной составной частью системы управления рисками в организации и в целях минимизации возможных убытков рассматривается как один из методов превентивного купирования рисков.
Основными целями лимитирования является ограничение рисков, направленное на:
● повышение финансовой устойчивости организации;
● оптимизацию соотношения «риск – доходность» по операциям/сделкам;
● формирование оптимальной структуры активов и пассивов с учётом структуры и объёма принятых рисков.
Целью лимитирования является ограничение риска по следующим видам активных операций:
● операции на валютном и денежном рынках;
● кредитно-депозитные операции на межбанковском рынке;
● кредиты (займы), предоставленные корпоративным заёмщикам;
● синдицированное кредитование;
● операции, связанные с осуществлением документарных операций;
● операции торгового финансирования[14];
● операции с ценными бумагами;
● операции, осуществляемые в соответствии с договором финансирования под уступку денежного требования (факторинг);
● требования по сделкам продажи (покупки) финансовых активов с отсрочкой платежа (поставки финансовых активов);
● прочие операции, сопряжённые с кредитным риском (в том числе дебиторская задолженность, прочие требования по финансово-хозяйственным операциям).
Задачами лимитирования являются:
● обеспечение формирования и функционирования системы лимитирования рисков как составной части системы управления в целом;
● определение структуры и объёма принимаемых рисков;
● определение полномочий органов управления, должностных лиц и подразделений организации в процессе лимитирования рисков.
Лимиты устанавливаются на корпоративных заёмщиков, финансовые организации, эмитентов ценных бумаг (юридические лица, органы исполнительной власти или органы местного самоуправления) и другие организации, в отношении которых возникают требования, несущие риск.
Основными лимитами являются:
● показатель достаточности капитала;
● лимит на максимальный объём требований на одного заёмщика (группу взаимосвязанных заёмщиков)[15];
● структурные лимиты[16];
● страновые лимиты[17];
● лимиты открытых позиций, в том числе лимиты открытой валютной позиции (ОВП)[18], лимиты предельных размеров лимитов и прибыли;