Политика с комментариями

Развернуть все комментарии
Свернуть все комментарии

Политика управления рисками написана на основании ГОСТ ISO31000, некоторые фразы взяты из стандарта FERMA. Увы, но оба стандарта нужно переводить с русского на русский. Переводы фундаментальных буржуйских документов, как правило, достаточно косноязычны: понять можно, но лучше уточнить. Стандарты – не исключение. Поэтому ценных мыслей в стандартах предостаточно, но для того, чтобы они были понятны не владеющему высокими материями, поработать придется.

Политика управления рисками. 

1. Общие положения.

Комментарий

В положении необходимо указать традиционные вещи: обязательно неуклонное исполнение всех участвующих.

1.1. Политика управления рисками (далее – Политика) определяет термины и определения, цели и задачи, ограничения, принципы, требования к инфраструктуре и процессу управления рисками в Компании.

1.2. Политика является обязательной для исполнения всеми сотрудниками Компании.

1.3. При разработке документов по управлению рисками необходимо следовать Политике.

2. Термины и определения.

2.1. Компания –

Комментарий

Определяется в каждом конкретном случае. По возможности, необходимо указать весь периметр (не только дочерние и зависимые общества). Увы, но не риск-менеджер определяет периметр действия политики, это, так сказать, политическая воля самых…

Дальше все определения – из ISO31000. Приводятся только, на наш взгляд, нужные. 

2.2. Риск – влияние неопределенности на цели.

Комментарий

Другие варианты: (№1, из FERMA) – комбинация вероятности событий и его последствий, (№2, из жизни) – событие, негативно или позитивно влияющее на деятельность компании, вероятность и последствия наступления которого можно оценить.

2.3. Управление рисками или риск-менеджмент – скоординированные действия по управлению организацией с учетом риска.

Комментарий

Словосочетание «менеджмент риска» как в переводе ISO нам не нравится, поэтому его использовать не будем.

2.4. Владелец риска – лицо, которое имеет полномочия и несет ответственность за управление риском.

Комментарий

Один из коллег, оказавший нам помощь в непрерывном совершенствовании данной политики, предлагает использовать его практику определения владельца риска как руководителя подразделения, на достижение целей которых влияет риск. Идея интересная, рекомендуем, но сами не пробовали.

2.5. Инфраструктура управления рисками – набор компонентов, обеспечивающих организационные меры и структуру для разработки, внедрения, мониторинга, пересмотра и постоянного улучшения управления рисками в масштабе Компании.

2.6. Процесс управления рисками – систематическое применение политик, процедур и практик Компании к деятельности по обмену информацией и консультированию, анализу внешней и внутренней среды, идентификации, анализу, оценке, воздействию на риск, мониторингу и пересмотру риска.

Комментарий

Если думаете, что чего-то не хватает – welcome to ISO31000, там много.

3. Цели управления рисками.

Комментарий

Цели управления рисками лучше определить через соответствие лучшим практикам. На наш взгляд, наилучшим образом цели определяет Приложение А к ISO31000:

3.1. Компания имеет современное, правильное и всестороннее понимание своих рисков.

3.2. Риски Компании находятся в пределах установленных Компанией критериев.

Комментарий

В п. 3.2. можно конкретизировать критерии, а именно риск-аппетит.

Почему именно таких целей достаточно? Ведь у всех политик, как правило, их больше. А потому, что не важно, как именно риски находятся на приемлемом уровне. Как говорил мудрый филин, мое дело – стратегия…

4. Задачи управления рисками.

4.1. Построение инфраструктуры управления рисками.

4.2. Создание и поддержание процесса управления рисками, позволяющего обеспечить достижение целей Компании.

Комментарий

В этом разделе хватит двух ключевых задач: обеспечение наличия инфраструктуры и поддержание процесса управления рисками. Остальные потенциальные задачи – это либо принципы, либо описание процесса.

5. Ограничения настоящей политики.

5.1. Политика управления рисками направлена на обеспечение разумной, но не абсолютной гарантии достижения целей риск-менеджмента, по следующим причинам:

5.1.1. выявление и оценка рисков не могут быть абсолютно точными ввиду неопределенности будущих событий;

5.1.2. некоторые риски находятся за пределами воздействия со стороны Компании, и поэтому не могут быть полностью устранены;

5.1.3. эффективность некоторых контрольных процедур, внедренных для управления рисками, может не быть достигнута ввиду человеческого фактора.

6. Принципы управления рисками.

Комментарий

Нам не нравится набор принципов ни в одном из стандартов. Скажем, в ISO31000 принципы из раздела «Принципы» не очень применимы. Во-первых, в некоторых случаях это не принципы, а, скорее, характеристики. Во-вторых, часть из них написаны в стиле «за все хорошее против всего плохого». Например, принцип «Риск-менеджмент является систематическим, структурированным и своевременным». Казалось бы, абсолютно разумно, но Вы когда-нибудь видели стратегический документ, в котором что-то хорошее должно быть бессистемным, неструктурированным и запаздывающим?

Поэтому в этом разделе набор принципов взят из разных частей ISO31000.

6.1. Использование лучших практик. В управлении рисками Компании используются стандарты FERMA и ISO31000. При этом возможно неполное следование лучшим практикам, если это соответствует интересам Компании.

Комментарий

Для придания документу лоска и должного трепета при прочтении можно добавить про COSO ERM.

6.2. Эффективность. Риск-менеджмент создает и защищает стоимость Компании.

6.3. Непрерывность. Риск-менеджмент осуществляется на постоянной основе.

6.4. Комплексность. Риск-менеджмент охватывает всю деятельность Компании.

6.5. Вовлеченность. Руководство Компании всех уровней считает риск-менеджмент существенным для достижения целей Компании.

6.6. Интеграция. Риск-менеджмент является неотъемлемой частью всех организационных процессов и используется при принятии решений.

6.7. Ответственность. Ответственность за риски означает наличие всесторонней, полностью определенной и принятой ответственности за риски как со стороны коллегиальных органов управления, так и со стороны владельцев риска.

6.8. Ресурсное обеспечение. Компания обеспечивает владельцев риска всем необходимым для выполнения своей роли, им предоставлены полномочия, время, обучение и ресурсы для управления рисками.

6.9. Использование лучшей информации. В процессе риск-менеджмента принимается во внимание вся доступная информация: исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы, экспертные оценки и пр.

6.10. Раскрытие информации. Информация о риск-менеджменте регулярно раскрывается всем заинтересованным сторонам.

6.11. Непрерывное совершенствование. Имеет место постоянное улучшение процессов управления рисками.

Комментарий

Если планируете консультироваться – нужно добавить принцип «Внешняя оценка эффективности», который подразумевает регулярную оценку системы управления рисками Компании внешней организацией не реже одного раза в N лет.

7. Инфраструктура процесса управления рисками.

Комментарий

Здесь пойдем по определению из ISO31000, а точнее, по примечаниям:

Примечание 1. Основы включают политику, цели, полномочия, и обязательства по управлению рисками.

Примечание 2. Организационные меры и структура включают планы, взаимосвязи, ответственность, ресурсы, процессы и деятельность.

Настоящую политику можно интерпретировать как основы, то есть сам факт политики – это и есть основы. А организационные меры и структуру расписываем.

7.1.В соответствии с принципом вовлеченности в управление рисками вовлечены все органы управления компании.

7.1.1. Ответственность на уровне Совета директоров возлагается на … .

Комментарий

Это может быть комитет по рискам (если такой существует – нужно определиться с терминами, так как дальше будет Комитет по рискам при Правлении), комитет по аудиту, комитет по стратегическому развитию.

В обязанности Совета директоров входит:

7.1.1.1. определение критериев риска;

7.1.1.2. определение критериев эффективности риск-менеджмента;

Комментарий

Возможно использование понятия риск-аппетит из COSO ERM.

7.1.1.3. рассмотрение результатов мониторинга риск-менеджмента;

7.1.1.4. оценка эффективности риск-менеджмента.

7.1.2. При Правлении Компании создается Комитет по рискам. При этом:

7.1.2.1. Функции Комитета по рискам определяются положением о нем.

7.1.2.2. В обязанности Комитета в обязательном порядке входят:

7.1.2.2.1. обеспечение инфраструктуры управления рисками;

7.1.2.2.2. обеспечение процесса управления рисками;

7.1.2.2.3. рассмотрение реестра рисков, определение методов воздействия на риски и утверждение планов мероприятий по управлению рисками;

7.1.2.2.4. рассмотрение конфликтов интересов при управлении рисками.

7.1.3. Ответственность за управление рисками в Компании возлагается на генерального директора.

Комментарий

Необходимо определить физическое лицо, фактически являющееся единоличным исполнительным органом. Оговорка нужна для двух случаев: функции генерального директора исполняет юридическое лицо, а также для варианта, когда генеральный директор номинален, а бизнес управляется как-нибудь по-другому.

Ответственность за управление рисками включает, как минимум:

7.1.3.1. установление / назначение владельцев рисков, ответственных и уполномоченных управлять рисками;

7.1.3.2. установление других видов ответственности сотрудников на всех уровнях Компании;

7.1.3.3. назначение ответственного за координацию управления рисками;

7.1.3.4. ответственность за проведение регулярных встреч по рискам и ведение соответствующей отчетности;

7.1.3.5. ответственность за достигнутые результаты риск-менеджмента.

Комментарий

Если планируете создавать отдельное подразделение по управлению рисками – необходимо указать здесь. Кроме того, сюда же можно добавить про обязанности остальных тружеников, но это будут банальности, которые описаны в принципах и общих положениях.

7.2. Для функционирования риск-менеджмента разрабатываются и поддерживаются следующие документы:

7.2.1. Настоящая Политика.

7.2.2. Положение о Комитете по рискам при Правлении.

7.2.3. Регламент управления рисками.

 

7.3. В соответствии с принципом интеграции:

7.3.1. Риск-менеджмент в обязательном порядке встраивается в процессы стратегического планирования, бюджетирования, инвестиционного планирования, закупок и изменения деятельности.

7.3.2. Интегрирование означает непрерывное использование результатов риск-менеджмента в процессах, в том числе в документах процессов (стратегии, бюджеты, планы).

Комментарий

Речь идет о том, что стратегия должна содержать задачи, которые следуют из результатов управления рисками, бюджеты должны быть подготовлены с учетом рисков, а планы по управлению рисками при наличии какого-либо плана работ подразделения должны быть включены в этот план.

7.4. При внедрении и улучшении инфраструктуры риск-менеджмента формируются соответствующие планы.

Комментарий

Речь идет о документальном оформление планов по развитию риск-менеджмента с их последующей оценкой. Понимаем, что в зрелой с точки зрения управления рисками организации такие планы не особо нужны. Тем не менее, рекомендуем этот пункт оставить: когда внутренний аудитор будет смотреть, как меняется риск-менеджмент, наличие либо отсутствие планов может дать значительный объем информации для вынесения профессионального суждения.

7.5. Эффективность риск-менеджмента (как инфраструктуры риск-менеджмента, так и процесса управления рисками) не реже одного раза в год оценивается подразделением внутреннего аудита в рамках мониторинга.

8. Процесс управления рисками.

Комментарий

Детально процесс управления рисками представлен в регламенте, в политике достаточно описать только действительно важные требования. В этом разделе процесс управления рисками соответствует процессу FERMA, использованному в других разделах сайта. ISO31000 практически то же самое, просто, как нам кажется, возникнет путаница из-за использования терминов оценка и оценивание.

8.1. Процесс управления рисками состоит из:

8.1.1. анализа рисков (идентификация, расчет, оценка риска);

8.1.2. воздействия на риски (определение метода воздействия, разработка, определение источников финансирования и реализация программы мероприятий с последующим контролем внедрения);

8.1.3. отчетности о рисках;

8.1.4. мониторинга и изменения инфраструктуры и процесса управления рисками.

8.2. Принципы риск-менеджмента в Компании при исполнении процесса:

8.2.1. Идентификация рисков.

8.2.1.1. Классификация рисков в Компании не применяется.

Комментарий

Можно ввести классификацию рисков, хотя этого делать искренне не рекомендуем. На начальном этапе жизненного цикла управления рисками дискуссии о том, к какой категории относится тот или иной риск, отбирают много времени, а результат дают скромный. Впоследствии излишний формализм может сузить направления поиска рисков.

8.2.1.2. Идентификация рисков сопровождается их описанием для проведения дальнейшего анализа.

8.2.1.3. Идентифицируются как риски, которые Компания контролирует, так и риски, которая Компания не может контролировать, но которые оказывают влияние на деятельность Компании.

8.2.1.4. Приоритетным является выявление рисков на ранней стадии их возникновения.

8.2.1.5. При идентификации рисков рассматривается максимально широкий спектр последствий, однако приоритетными являются потенциальное влияние на репутацию и имидж компании, капитализацию, соответствие требованиям регуляторов, себестоимость производства и продаж, непрерывность производства, которое может быть оценочно выражено в деньгах.

8.2.1.6. Идентифицируются не только негативные, но и позитивные риски. Под последними понимаются риски, связанные с решениями не использовать благоприятные возможности.

8.2.2. Расчет рисков.

8.2.2.1. В расчете рисков используются следующие шкалы:

8.2.2.1.1. для расчета вероятности – …;

8.2.2.1.2. для расчета ущерба – ….

Комментарий

Подходы к расчету рисков см. здесь. Необходимо выбрать один из вариантов либо же придумать свой.

8.2.2.2. Риски рассчитываются экспертным, стохастическим и статистическим методами. Преимущественным методом расчета является статистический метод.

8.2.3. Оценка рисков.

8.2.3.1. По результатам оценки рисков каждому риску присваивается одно из трех значений: критический, приемлемый, незначительный.

Комментарий

В случае наличия численной оценки расчета математического ожидания либо VaR и прочего можно использовать математическое ожидание, как сделано в условном примере для этого сайта. В этом случае можно ввести линию толерантности и т.п., строго по сайту. Если использовать качественный подход, количественно делений шкалы можно увеличить до 5.

8.2.3.2. Риски ранжируются в соответствии с присвоенными значениями.

8.2.3.3. Невзаимосвязанные риски оцениваются по отдельности, взаимосвязанные риски оцениваются по совокупности.

8.2.3.4. Результаты оценки рисков сводятся в реестр рисков.

8.2.3.5. Для удобства восприятия для рассмотрения рисков на Правлении и Совете директоров формируется карта рисков.

Комментарий

Можно также определить требования к карте рисков, возможные варианты – здесь.

8.2.4. Воздействие на риск.

8.2.4.1. При рассмотрении методов воздействия на риск рассматриваются следующие варианты воздействия:

8.2.4.1.1. избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск;

8.2.4.1.2. принятие или увеличение риска для использования благоприятной возможности;

8.2.4.1.3. устранение источника риска;

8.2.4.1.4. снижение вероятности;

8.2.4.1.5. изменение последствий;

8.2.4.1.6. разделение риска с другой стороной или сторонами (включая контракты и финансирование риска);

8.2.4.1.7. осознанное удержание риска.

Комментарий

Взято из ISO31000. В COSO ERM методов воздействия четыре.

8.2.4.2. Мероприятия по управлению рисками могут быть влияющими на причины (факторы) рисков для их предотвращения (превентивные) и направленными на устранение последствий реализовавшегося риска. Преимущественными мероприятиями должны стать превентивные мероприятия.

8.2.4.3. Планы воздействия на риск оформляются в виде программ мероприятий по управлению рисками. Если программа требует финансирования, то источник финансирования определяется при подготовке, рассмотрении и утверждении программы.

8.2.4.4. Программа мероприятий содержит только мероприятия проектного характера, то есть имеющие срок, бюджет и ответственного (владельца риска).

Комментарий

Это, возможно, один из самых важных пунктов политики: отсутствие «процессных» мероприятий. Подробнее, почему так нужно сделать – см. про выбор мероприятий

8.2.4.5. Стоимость выполнения мероприятия по каждому риску должна быть значительно меньше потерь от риска с учетом вероятности его возникновения. При наличии мероприятий для критических рисков, сопоставимых с потерями от риска с учетом вероятности, необходимость исполнения данных мероприятий рассматривается на Совете директоров.

Комментарий

Важная оговорка. Яркий пример типового мероприятия для уменьшения стратегических рисков – вертикальная интеграция. Возможно, что активы явно дороже, чем должны стоить, и не факт, что риск уменьшится. Однако в некоторых случаях для сохранения бизнеса нужно их покупать. Другой пример – всяческие социальные вещи. Окупаемость проблематична, но иногда проводить мероприятия целесообразно.

8.2.5. Отчетность о рисках.

8.2.5.1. Отчетность о рисках рассматривается:

8.2.5.1.1. на уровне Совета директоров – не менее двух раз в год.

8.2.5.1.2. на уровне Правления (Комитет по рискам) – ежеквартально.

8.2.5.2. Форма отчетности определяется пользователями отчетности и утверждается документально.

8.2.6. Мониторинг управления рисками.

8.2.6.1. Комитет по рискам на каждом заседании осуществляет мониторинг управления рисками, в т.ч. оценивает:

8.2.6.1.1. достижение результатов;

8.2.6.1.2. адекватность использованных процедур;

8.2.6.1.3. адекватность использованной информации.

8.2.6.2. Результаты мониторинга являются входящей информацией для идентификации рисков.

8.2.7. Мониторинг инфраструктуры и процесса управления рисками.

8.2.7.1. Комитет по рискам не реже одного раза в год проводит оценку инфраструктуры и процесса управления рисками.

8.2.7.2. По итогам мониторинга, при необходимости, вносятся изменения как в инфраструктуру, так и в процесс управления рисками.

 

Комментарий

В п. 7.5. указано, что мониторинг осуществляется внутренним аудитом. Здесь можно также переписать.

8.3. Детально процесс риск-менеджмента описан в Регламенте управления рисками, в котором отражаются принципы настоящей Политики.

9. Прочие положения.

9.1. Политика утверждается Советом директоров.

9.2. Политика пересматривается не реже одного раза в три года.

9.3. Инициаторами внесения изменений в Политику могут быть все члены Совета директоров и Правления, генеральный директор и его заместители, а также руководители подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита.

В заключение: если считаете политику недостаточно подробной, если считаете целесообразным добавить какой-то раздел, если, по Вашему мнению, необходимо описать форму отчетов – добро пожаловать в раздел Риск-менеджмент.

Политика без комментариев

Файл в формате Microsoft Word — здесь

Политика управления рисками. 

1. Общие положения.

1.1. Политика управления рисками (далее – Политика) определяет термины и определения, цели и задачи, принципы, ограничения, требования к инфраструктуре и процессу управления рисками в Компании.

1.2. Политика является обязательной для исполнения всеми сотрудниками Компании.

1.3. При разработке документов по управлению рисками необходимо следовать Политике.

2. Термины и определения.

2.1. Компания –

2.2. Риск – влияние неопределенности на цели.

2.3. Управление рисками или риск-менеджмент – скоординированные действия по управлению организацией с учетом риска.

2.4. Владелец риска – лицо, которое имеет полномочия и несет ответственность за управление риском.

2.5. Инфраструктура управления рисками – набор компонентов, обеспечивающих организационные меры и структуру для разработки, внедрения, мониторинга, пересмотра и постоянного улучшения управления рисками в масштабе Компании.

2.6. Процесс управления рисками – систематическое применение политик, процедур и практик Компании к деятельности по обмену информацией и консультированию, анализу внешней и внутренней среды, идентификации, анализу, оценке, воздействию на риск, мониторингу и пересмотру риска.

3. Цели управления рисками.

3.1. Компания имеет современное, правильное и всестороннее понимание своих рисков.

3.2. Риски Компании находятся в пределах установленных Компанией критериев.

4. Задачи управления рисками.

4.1. Построение инфраструктуры управления рисками.

4.2. Создание и поддержание процесса управления рисками, позволяющего обеспечить достижение целей Компании.

5. Ограничения настоящей политики.

5.1. Политика управления рисками направлена на обеспечение разумной, но не абсолютной гарантии достижения целей риск-менеджмента, по следующим причинам:

5.1.1. выявление и оценка рисков не могут быть абсолютно точными ввиду неопределенности будущих событий;

5.1.2. некоторые риски находятся за пределами воздействия со стороны Компании, и поэтому не могут быть полностью устранены;

5.1.3. эффективность некоторых контрольных процедур, внедренных для управления рисками, может не быть достигнута ввиду человеческого фактора.

6. Принципы управления рисками.

6.1. Использование лучших практик. В управлении рисками Компании используются стандарты FERMA и ISO31000. При этом возможно неполное следование лучшим практикам, если это соответствует интересам Компании.

6.2. Эффективность. Риск-менеджмент создает и защищает стоимость Компании.

6.3. Непрерывность. Риск-менеджмент осуществляется на постоянной основе.

6.4. Комплексность. Риск-менеджмент охватывает всю деятельность Компании.

6.5. Вовлеченность. Руководство Компании всех уровней считает риск-менеджмент существенным для достижения целей Компании.

6.6. Интеграция. Риск-менеджмент является неотъемлемой частью всех организационных процессов и используется при принятии решений.

6.7. Ответственность. Ответственность за риски означает наличие всесторонней, полностью определенной и принятой ответственности за риски как со стороны коллегиальных органов управления, так и со стороны владельцев риска.

6.8. Ресурсное обеспечение. Компания обеспечивает владельцев риска всем необходимым для выполнения своей роли, им предоставлены полномочия, время, обучение и ресурсы для управления рисками.

6.9. Использование лучшей информации. В процессе риск-менеджмента принимается во внимание вся доступная информация: исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы, экспертные оценки и пр.

6.10. Раскрытие информации. Информация о риск-менеджменте регулярно раскрывается всем заинтересованным сторонам.

6.11. Непрерывное совершенствование. Имеет место постоянное улучшение процессов управления рисками.

7. Инфраструктура процесса управления рисками.

7.1.В соответствии с принципом вовлеченности в управление рисками вовлечены все органы управления компании.

7.1.1. Ответственность на уровне Совета директоров возлагается на … . В обязанности Совета директоров входит:

7.1.1.1. определение критериев риска;

7.1.1.2. определение критериев эффективности риск-менеджмента;

7.1.1.3. рассмотрение результатов мониторинга риск-менеджмента;

7.1.1.4. оценка эффективности риск-менеджмента.

7.1.2. При Правлении Компании создается Комитет по рискам. При этом:

7.1.2.1. Функции Комитета по рискам определяются положением о нем.

7.1.2.2. В обязанности Комитета в обязательном порядке входят:

7.1.2.2.1. обеспечение инфраструктуры управления рисками;

7.1.2.2.2. обеспечение процесса управления рисками;

7.1.2.2.3. рассмотрение реестра рисков, определение методов воздействия на риски и утверждение планов мероприятий по управлению рисками;

7.1.2.2.4. рассмотрение конфликтов интересов при управлении рисками.

7.1.3. Ответственность за управление рисками в Компании возлагается на генерального директора. Ответственность за управление рисками включает, как минимум:

7.1.3.1. установление / назначение владельцев рисков, ответственных и уполномоченных управлять рисками;

7.1.3.2. установление других видов ответственности сотрудников на всех уровнях Компании;

7.1.3.3. назначение ответственного за координацию управления рисками;

7.1.3.4. ответственность за проведение регулярных встреч по рискам и ведение соответствующей отчетности;

7.1.3.5. ответственность за достигнутые результаты риск-менеджмента.

7.2. Для функционирования риск-менеджмента разрабатываются и поддерживаются следующие документы:

7.2.1. Настоящая Политика.

7.2.2. Положение о Комитете по рискам при Правлении.

7.2.3. Регламент управления рисками.

7.3. В соответствии с принципом интеграции:

7.3.1. Риск-менеджмент в обязательном порядке встраивается в процессы стратегического планирования, бюджетирования, инвестиционного планирования, закупок и изменения деятельности.

7.3.2. Интегрирование означает непрерывное использование результатов риск-менеджмента в процессах, в том числе в документах процессов (стратегии, бюджеты, планы).

7.4. При внедрении и улучшении инфраструктуры риск-менеджмента формируются соответствующие планы.

7.5. Эффективность риск-менеджмента (как инфраструктуры риск-менеджмента, так и процесса управления рисками) не реже одного раза в год оценивается подразделением внутреннего аудита в рамках мониторинга.

8. Процесс управления рисками.

8.1. Процесс управления рисками состоит из:

8.1.1. анализа рисков (идентификация, расчет, оценка риска);

8.1.2. воздействия на риски (определение метода воздействия, разработка, определение источников финансирования и реализация программы мероприятий с последующим контролем внедрения);

8.1.3. отчетности о рисках;

8.1.4. мониторинга и изменения инфраструктуры и процесса управления рисками.

8.2. Принципы риск-менеджмента в Компании при исполнении процесса:

8.2.1. Идентификация рисков.

8.2.1.1. Классификация рисков в Компании не применяется.

8.2.1.2. Идентификация рисков сопровождается их описанием для проведения дальнейшего анализа.

8.2.1.3. Идентифицируются как риски, которые Компания контролирует, так и риски, которая Компания не может контролировать, но которые оказывают влияние на деятельность Компании.

8.2.1.4. Приоритетным является выявление рисков на ранней стадии их возникновения.

8.2.1.5. При идентификации рисков рассматривается максимально широкий спектр последствий, однако приоритетными являются потенциальное влияние на репутацию и имидж компании, капитализацию, соответствие требованиям регуляторов, себестоимость производства и продаж, непрерывность производства, которое может быть оценочно выражено в деньгах.

8.2.1.6. Идентифицируются не только негативные, но и позитивные риски. Под последними понимаются риски, связанные с решениями не использовать благоприятные возможности.

8.2.2. Расчет рисков.

8.2.2.1. В расчете рисков используются следующие шкалы:

8.2.2.1.1. для расчета вероятности – …;

8.2.2.1.2. для расчета ущерба – ….

8.2.2.2. Риски рассчитываются экспертным, стохастическим и статистическим методами. Преимущественным методом расчета является статистический метод.

8.2.3. Оценка рисков.

8.2.3.1. По результатам оценки рисков каждому риску присваивается одно из трех значений: критический, приемлемый, незначительный.

8.2.3.2. Риски ранжируются в соответствии с присвоенными значениями.

8.2.3.3. Невзаимосвязанные риски оцениваются по отдельности, взаимосвязанные риски оцениваются по совокупности.

8.2.3.4. Результаты оценки рисков сводятся в реестр рисков.

8.2.3.5. Для удобства восприятия для рассмотрения рисков на Правлении и Совете директоров формируется карта рисков.

8.2.4. Воздействие на риск.

8.2.4.1. При рассмотрении методов воздействия на риск рассматриваются следующие варианты воздействия:

8.2.4.1.1. избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск;

8.2.4.1.2. принятие или увеличение риска для использования благоприятной возможности;

8.2.4.1.3. устранение источника риска;

8.2.4.1.4. снижение вероятности;

8.2.4.1.5. изменение последствий;

8.2.4.1.6. разделение риска с другой стороной или сторонами (включая контракты и финансирование риска);

8.2.4.1.7. осознанное удержание риска.

8.2.4.2. Мероприятия по управлению рисками могут быть влияющими на причины (факторы) рисков для их предотвращения (превентивные) и направленными на устранение последствий реализовавшегося риска. Преимущественными мероприятиями должны стать превентивные мероприятия.

8.2.4.3. Планы воздействия на риск оформляются в виде программ мероприятий по управлению рисками. Если программа требует финансирования, то источник финансирования определяется при подготовке, рассмотрении и утверждении программы.

8.2.4.4. Программа мероприятий содержит только мероприятия проектного характера, то есть имеющие срок, бюджет и ответственного (владельца риска).

8.2.4.5. Стоимость выполнения мероприятия по каждому риску должна быть значительно меньше потерь от риска с учетом вероятности его возникновения. При наличии мероприятий для критических рисков, сопоставимых с потерями от риска с учетом вероятности, необходимость исполнения данных мероприятий рассматривается на Совете директоров.

8.2.5. Отчетность о рисках.

8.2.5.1. Отчетность о рисках рассматривается:

8.2.5.1.1. на уровне Совета директоров – не менее двух раз в год.

8.2.5.1.2. на уровне Правления (Комитет по рискам) – ежеквартально.

8.2.5.2. Форма отчетности определяется пользователями отчетности и утверждается документально.

8.2.6. Мониторинг управления рисками.

8.2.6.1. Комитет по рискам на каждом заседании осуществляет мониторинг управления рисками, в т.ч. оценивает:

8.2.6.1.1. достижение результатов;

8.2.6.1.2. адекватность использованных процедур;

8.2.6.1.3. адекватность использованной информации.

8.2.6.2. Результаты мониторинга являются входящей информацией для идентификации рисков.

8.2.7. Мониторинг инфраструктуры и процесса управления рисками.

8.2.7.1. Комитет по рискам не реже одного раза в год проводит оценку инфраструктуры и процесса управления рисками.

8.2.7.2. По итогам мониторинга, при необходимости, вносятся изменения как в инфраструктуру, так и в процесс управления рисками.

8.3. Детально процесс риск-менеджмента описан в Регламенте управления рисками, в котором отражаются принципы настоящей Политики.

9. Прочие положения.

9.1. Политика утверждается Советом директоров.

9.2. Политика пересматривается не реже одного раза в три года.

9.3. Инициаторами внесения изменений в Политику могут быть все члены Совета директоров и Правления, генеральный директор и его заместители, а также руководители подразделений риск-менеджмента, внутреннего контроля и внутреннего аудита.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.