Гражданский кодекс часть 1

Руководство по созданию (совершенствованию) системы мер управления рисками деятельности по ведению реестра (далее - Руководство) определяет основные принципы организации, реализации и контроля процессов управления рисками в организации. Руководством определены первоочередные действия по выстраиванию системы мер управления рисками.

Управление рисками деятельности по ведению реестра в соответствии с данным Руководством позволит снизить возможные потери, как самой организации, так и ее клиентов. Реализация рисков регистраторской деятельности может создавать угрозу финансовой устойчивости организации, а также оказывать негативное влияние на состояние учетной системы и финансового рынка в целом.

В соответствии с Руководством профессиональный участник, осуществляющий деятельность по ведению реестра, определяет цели и задачи управления рисками, принципы и требования к функционированию системы управления рисками, организационную структуру управления рисками, принципы финансирования системы мер управления рисками, ключевые индикаторы риска.

Управление рисками осуществляется должностным лицом - руководителем подразделения управления рисками. Система мер управления рисками может являться частью системы внутреннего контроля организации. В этом случае управление рисками возлагается на контролера организации, либо на структурное подразделение под руководством контролера. Организации рекомендуется оценить целесообразность создания подразделения (назначения дополнительного сотрудника), отвечающего за координацию и централизацию управления операционными рисками.

Порядок взаимодействия службы управления рисками и службы внутреннего контроля определяется соответствующим регламентом, утвержденным руководителем организации.

Руководство разработано на основе изучения и обобщения сложившейся практики управления рисками учетных институтов, типовых нарушений, выявляемых в ходе проверок регистраторов, судебной практики, практики страхования и урегулирования убытков учетных институтов, международных требований к управлению операционными рисками, учитывает положения концептуальных основ управления рисками, в том числе рекомендации Базельского комитета по банковскому надзору.

Документ предназначен для руководителей и специалистов всех уровней управления организации, ее структурных подразделений, филиалов, а также других участников процессов управления рисками и заинтересованных сторон.

Представленные в данном Руководстве перечни документов, методика оценки рисков, классификатор рисков деятельности по ведению реестра, перечень ключевых индикаторов рисков предлагаются к использованию всеми организациями, осуществляющими деятельность по ведению реестра владельцев именных ценных бумаг (далее - организация), формирующими систему мер управления рисками. При этом, организация вправе самостоятельно разрабатывать соответствующие документы и/или использовать уже утвержденные ее внутренние документы по управлению рисками, в том случае, если они позволяют достичь результатов, соответствующих требованиям данного Руководства.

Система мер управления рисками деятельности по ведению реестра конкретной организации, созданная до принятия настоящего Руководства, должна быть оформлена внутренними документами организации, регламентирующими деятельность по управлению рисками, содержать формы отчетности службы управления рисками, документы, подтверждающие эффективность ее функционирования и поясняющие соответствие применяемой системы мер управления рисками деятельности по ведению реестра требованиям настоящего Руководства.

2. Основные термины, определения и сокращения

Владелец риска - руководитель подразделения, на стратегические или операционные цели которого оказывает прямое влияние данный риск. Владелец риска отвечает за идентификацию, оценку и мониторинг управления риском и назначается руководителем организации.

Внутренний контроль - контроль за соответствием деятельности организации требованиям законодательства Российской Федерации о рынке ценных бумаг, в том числе нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг, законодательства Российской Федерации о защите прав и законных интересов инвесторов на рынке ценных бумаг, законодательства Российской Федерации о рекламе, а также соблюдением внутренних документов профессионального участника, связанных с его деятельностью на рынке ценных бумаг.

Классификатор рисков - перечень рисков с ключевой информацией по ним, которые далее могут быть конкретизированы посредством детализации информации об объектах, подверженных данным рискам, субъектах влияния рисков, сроках, нормативных актах, проектах, контрагентах и другой релевантной информацией, дающей полное понимание рассматриваемой рисковой области.

Ключевые индикаторы рисков (КИР) - количественные или качественные показатели источников (факторов) риска. Данные показатели характеризуют концентрацию рисков, в том числе накопившиеся негативные события в соответствующем подразделении организации.

Координатор системы мер управления рисками (СУР) - сотрудник функционального подразделения/службы, ответственный за мониторинг и предоставление информации по операционным рискам руководителю управления рисками.

Матрица рисков деятельности по ведению реестра - таблица, используемая для оценки уровня указанных в ней групп рисков.

Операционный риск - риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, противоправными действиями либо с внешними событиями (согласно решению Базельского комитета по банковскому надзору - Section 644, Basel II, 2004 г.).

Паспорт риска - документ, содержащий необходимую информацию о риске, включая источник риска, владельца риска, мероприятия по управлению риском, процедуры реагирования, КИР.

Последствия риска - события, которые наиболее вероятно наступят после реализации риска. Последствия риска выражаются во влиянии на эффективность и сроки исполнения задач, финансовый результат, репутацию, надежность предоставления услуг, человеческие ресурсы и другие факторы достижения стратегических и операционных целей организации.

Руководитель подразделения управления рисками - лицо, ответственное за координацию процессов управления рисками организации и его филиалов, в частности, сбор и актуализацию информации о рисках, консультирование владельцев рисков по методологии управления рисками, обеспечение информацией заинтересованных сторон.

Система мер управления рисками (СУР) - совокупность процессов, методик, информационных систем, направленных на достижение целей и задач управления рисками. Система мер управления рисками регистратора должна соответствовать виду деятельности и характеру операций, а также должна включать механизм мониторинга рисков, обеспечивающий своевременное доведение информации до сведения органов управления организации.

Страховая сумма (лимит ответственности) - размер денежных средств, указанный в договоре страхования (полисе), в пределах которого страховщик несет ответственность перед страхователем.

Субъекты внутреннего контроля - Совет директоров, Генеральный директор (Правление), подразделение внутреннего контроля, служба управления рисками, а также подразделения и сотрудники организации и филиалов, ответственные за выполнение закрепленных за ними (внутренними документами организации) функций внутреннего контроля и управления рисками.

Целевые показатели по ограничению рисков - показатели, рассчитанные на основе статистических данных за предыдущий отчетный период деятельности организации, определяющие допустимый уровень риска.

3. Система мер управления рисками (СУР)

СУР включает в себя цели, задачи, принципы, приоритетные области в управлении рисками, классификатор рисков деятельности по ведению реестра.

3.1. Цели и задачи СУР

Цели и задачи СУР представлены в таблице 1.

Таблица 1. Цели и задачи СУР

┌───────────────────┬─────────────────────────────────────────────────────┐
│       Цели        │                        Задачи                       │
├───────────────────┼─────────────────────────────────────────────────────┤
│Обеспечение        │-  Идентификация  и  оценка  событий,   влияющих   на│
│гарантии достижения│   достижение стратегических целей;                  │
│стратегических     │-  Обеспечение    превентивных    мероприятий      по│
│целей              │   минимизации вероятности и   негативного    влияния│
│                   │   рисков на цели;                                   │
│                   │-  Стратегическое планирование с учетом рисков;      │
│                   │-  Своевременное      информирование     руководителя│
│                   │   организации  и  заинтересованных  сторон о наличии│
│                   │   угроз и возможностей.                             │
├───────────────────┼─────────────────────────────────────────────────────┤
│Сохранение  активов│-  Выявление,    оценка    и    управление    рисками│
│и       поддержание│   деятельности по ведению реестра;                  │
│эффективности      │-  Обеспечение  информацией  о  рисках  при  принятии│
│бизнеса            │   управленческих решений;                           │
│                   │-  Формирование  Матрицы   рисков   деятельности   по│
│                   │   ведению реестра;                                  │
│                   │-  Создание    и   управление    системой    ключевых│
│                   │   индикаторов риска (КИР) и целевых  показателей  по│
│                   │   ограничению рисков;                               │
│                   │-  Предупредительные    мероприятия    в    отношении│
│                   │   противоправных действий.                          │
├───────────────────┼─────────────────────────────────────────────────────┤
│Обеспечение        │-  Формирование  программ  реагирования  на  рисковые│
│непрерывности      │   ситуации;                                         │
│ведения реестра    │-  Регламентирование        процессов     локализации│
│                   │   последствий рисковых событий;                     │
│                   │-  Координация, обеспечение  и  оценка  эффективности│
│                   │   своевременного  реагирования   на     чрезвычайные│
│                   │   ситуации;                                         │
│                   │-  Использование        дополнительных     источников│
│                   │   финансирования расходов возможных убытков   и   их│
│                   │   последствий   (страхование   деятельности    и/или│
│                   │   отчисления в компенсационный фонд).               │
└───────────────────┴─────────────────────────────────────────────────────┘

3.2. Принципы и требования к функционированию СУР

СУР организации создается в соответствии со следующими принципами:

- управление рисками осуществляется, исходя из поставленных на уровне стратегии развития организации целей, а также целей конкретных процессов и функций;

- управление рисками осуществляется на постоянной основе, на всех этапах проведения операций в реестрах;

- решения о минимизации рисков принимаются на различных уровнях управления организации в зависимости от значимости рисков;

- в процесс управления рисками организации вовлечены руководители и сотрудники структурных подразделений;

- наличие в организации формализованного процесса управления рисками (регламенты, должностные инструкции);

- осуществление контроля (административного и финансового) за соблюдением установленных в организации процедур, в соответствии с требованиями документов, регламентирующих СУР организации;

- информационное обеспечение СУР осуществляется с использованием единого маршрута движения информации:

а) движение информации о рисках для принятия решений осуществляется от более низких уровней управления к более высоким;

б) решения по минимизации рисков, а также контроль управления рисками распространяется от более высоких уровней управления к более низким.

СУР разрабатывается и функционирует в соответствии со следующими требованиями:

1. Наличие подразделения и/или должностного лица по управлению рисками.

2. Наличие регламента деятельности подразделения и/или должностного лица по управлению рисками.

3. Наличие методики оценки рисков деятельности по ведению реестра.

4. Наличие разработанного классификатора рисков деятельности по ведению реестра.

5. Ведение базы данных по группам рисков деятельности по ведению реестров, а также наличие первичных документов для ведения базы данных (например, Паспорт риска).

6. Наличие плана мероприятий организации по управлению рисками деятельности по ведению реестра.

7. Составление с установленной периодичностью отчетности по рискам деятельности по ведению реестра.

8. Утверждение показателей контроля эффективности управления рисками деятельности по ведению реестра (например, ключевые индикаторы риска).

9. Наличие договора страхования деятельности по ведению реестра, отвечающего Условиям регистрации договоров страхования регистраторов - членов ПАРТАД.

3.3. Классификатор рисков деятельности по ведению реестра

Ключевым основанием для классификации рисков организации являются ее функциональные области деятельности. Для упрощения идентификации рисков предлагается использовать примерный Классификатор рисков деятельности по ведению реестра (приложение 1).

Риски деятельности по ведению реестра рекомендуется классифицировать на случаи убытков вследствие:

- ошибок и/или ненадлежащего исполнения обязанностей сотрудниками;

- противоправных действий сотрудников и/или третьих лиц (включая электронные и компьютерные преступления);

- сбоев, повреждений электронного и/или компьютерного оборудования, программного обеспечения;

- гибели, повреждения документов и архива в результате затопления, пожара и т.д.;

- ненадлежащих действий клиентов и/или контрагентов регистратора/депозитария;

- неоднозначной и/или недостаточной правовой базы для осуществления профессиональной деятельности (правовые риски).

3.4. Методика оценки уровня рисков деятельности по ведению реестра

Предлагаемая методика оценки рисков деятельности по ведению реестра (далее - Методика) основана на балльно-весовом методе заполнения Матрицы рисков деятельности по ведению реестра. В рамках применяемого балльно-весового метода выделяются группы рисков и определяются их относительные значимости - присваиваются весовые коэффициенты (таблица 2).

В соответствии с примерным Классификатором рисков деятельности по ведению реестра, риски группируются в зависимости от масштабов потерь при их реализации и последующих убытков. В данной Методике оценка рисков осуществляется по 3-ступенчатой шкале, в которой каждой группе рисков присваивается коэффициент риска (ГРi): 3 - максимальный, 2 - средний, 1 - минимальный. В дальнейшем возможна детализация рисков и, соответственно, использование шкалы с коэффициентом, например, от 1 до 5 и т.д.

Таблица 2. Группировка рисков деятельности по ведению

реестра в зависимости от тяжести последствий их реализации

┌─────────────────────────────────────────────────────┬───────────────────┐
│                    Группа риска                     │ Коэффициент риска │
├─────────────────────────────────────────────────────┼───────────────────┤
│1. Противоправные действия сотрудников и третьих лиц │         3         │
│   (включая электронные и компьютерные преступления) │                   │
├─────────────────────────────────────────────────────┼───────────────────┤
│2. Риски регулирования                               │         3         │
├─────────────────────────────────────────────────────┼───────────────────┤
│3. Ошибка и/или ненадлежащее исполнение обязанностей │         2         │
│   персоналом                                        │                   │
├─────────────────────────────────────────────────────┼───────────────────┤
│4. Сбои, повреждения электронного и/или компьютерного│         2         │
│   оборудования, программного обеспечения            │                   │
├─────────────────────────────────────────────────────┼───────────────────┤
│5. Риски клиентов и контрагентов                     │         2         │
├─────────────────────────────────────────────────────┼───────────────────┤
│6. Правовые риски                                    │         2         │
├─────────────────────────────────────────────────────┼───────────────────┤
│7. Гибель, повреждение документов и архива в         │         1         │
│   результате затопления, пожара и т.д.              │                   │
└─────────────────────────────────────────────────────┴───────────────────┘

Для построения Матрицы рисков деятельности по ведению реестра необходимо учитывать вероятность реализации той или иной группы рисков. В случае отсутствия выявленных нарушений, сбоев, ошибок, противоправных действий по соответствующей группе рисков, указанной группе присваивается коэффициент вероятности их реализации 0,1 (минимальная вероятность), при однократном выявлении - 1 (средняя вероятность), при более чем однократном - 2 (высокая вероятность). Элементы Матрицы рисков заполняются на основании данных Паспорта рисков (приложение 2), либо иных исходных документов.

Для формирования Матрицы рисков деятельности по ведению реестра используется формула 1: