Политика управления операционными и иными нефинансовыми рисками в лизинговой компании
Настоящая Политика устанавливает цели в области управления операционными рисками, определяет уровни, принципы, методы и компоненты системы управления рисками, регламентирует распределение функций и обязанностей между участниками СУОР, а также способы структурирования процессов и задач в области управления рисками.
Общие положения Политики системы управления рисками
Настоящая Политика управления операционным и иными нефинансовыми рисками в лизинговой компании (далее – Политика) устанавливает цели в области управления операционными рисками, определяет уровни, принципы, методы и компоненты системы управления рисками (далее – СУОР), регламентирует распределение функций и обязанностей между участниками СУОР, а также способы структурирования процессов и задач в области управления рисками.
Политика определяет системный подход к управлению операционными и иными нефинансовыми рисками в лизинговой компании (далее - Компания). Управление операционными рисками представляет собой постоянный процесс, реализуемый на всех уровнях управления.
Компания осуществляет комплексный мониторинг всех категорий операционных и иных нефинансовых рисков, выделяя наиболее значимые из них для приоритетного контроля. Основное внимание уделяется операционным рискам, возникающим в ключевых бизнес-процессах лизинговой деятельности.
Пятиуровневая система управления рисками
В целях обеспечения объективности и комплексного подхода к управлению операционными и иными нефинансовыми рисками в Компании внедрена пятиуровневая система управления:
01
Стратегический уровень (Совет директоров)
Утверждает политику и риск-аппетит
02
Контрольный уровень (Комитет по рискам)
Осуществляет надзор за системой управления рисками
03
Координационный уровень (Департамент риск-менеджмента)
Разрабатывает методологию и стандарты
04
Операционный уровень (Владельцы процессов)
Идентифицируют и контролируют риски в своих зонах ответственности
05
Исполнительный уровень (Линейные сотрудники)
Фиксируют риски в повседневной деятельности
Основные термины и определения
Распределение ролей в системе управления рисками
Дополнительные функциональные роли
Представление риска и его компоненты
Риск - это вероятность наступления события, влекущего за собой потери финансового и нефинансового характера. Величина риска измерима в количественном (от 0 до 100%), либо качественном (низкий/средний/высокий) выражении. Реализация риска случилась, если предполагаемое событие наступило или гарантированно наступит, то есть вероятность его наступления достигла 100%.
Потери могут иметь финансовый и нефинансовый характер: трудовые, материальные, временные и прочие. В фокусе внимания Компании – управление финансовыми потерями: прямыми и косвенными.
Ключевые категории рисков
Риски процессов
Возникают при выполнении бизнес-операций:
  • Ошибки обработки сделок
  • Нарушения процедур
  • Сбои документооборота
Технологические риски
Связаны с ИТ-инфраструктурой:
  • Отказы систем
  • Киберугрозы
  • Потери данных
Кадровые риски
Обусловлены человеческим фактором:
  • Ошибки персонала
  • Недостаток компетенций
  • Внутренние злоупотребления
Внешние риски
Вызваны изменениями среды:
  • Регуляторные изменения
  • Форс-мажорные обстоятельства
  • Действия контрагентов
Методология управления операционными рисками
Для эффективного контроля операционных и иных нефинансовых рисков, минимизации связанных с ними потерь Компания применяет комплексный подход, включающий:
Современные аналитические методы:
  • Процессное моделирование ключевых операций
  • Статистический анализ инцидентов
  • Машинное обучение для выявления паттернов рисков
Инструменты оценки:
  • Количественные метрики вероятности и воздействия
  • Сценарный анализ
  • Стресс-тестирование критических процессов
Систему мониторинга:
  • Автоматизированный сбор данных о рисках
  • Интеграция с системами внутреннего контроля
  • Регулярный пересмотр риск-профилей
Организационные принципы:
  • Сквозная ответственность за риски
  • Непрерывное совершенствование методологии
  • Взаимосвязь системы управления рисками со стратегией компании
Виды рисков. Выделение значимых рисков
Все виды операционных и иных нефинансовых рисков Компании определены в Приложении 1, среди значимых выделены:
  • Операционный риск, включая технологический, процессный, правовой
  • Стратегический риск, включая репутационный, регуляторный, и иные нефинансовые риски
Универсальная система управления операционными рисками
Компания применяет единый стандартизированный подход ко всем выявленным операционным рискам независимо от их потенциального воздействия.
Методология основана на следующих принципах:
Всеобъемлющий охват
  • Обязательная регистрация всех идентифицированных рисков
  • Единые процедуры оценки для любых типов рисков
  • Сквозной мониторинг без исключений
Упрощенная модель оценки
Критерий оценки: Воздействие / Вероятность
Шкала измерения: Минимальное/Умеренное/Критическое / Низкая/Средняя/Высокая
Стандартизированный процесс
  • Фиксация риска в едином реестре
  • Базовая оценка по упрощенной матрице
  • Назначение ответственного
  • Реализация типовых контрольных мер
  • Мониторинг результативности
Процедура реагирования на риски
Для всех зарегистрированных рисков применяется:
  • Единый набор контрольных действий (минимизация, передача, принятие)
  • Обязательные, но гибкие меры в зависимости от категории
  • Автоматизированная эскалация при изменении параметров
В отношении каждого из рисков Компания устанавливает:
  • определение риска
  • виды операций (сделок) или процессы, которым присущ данный риск
  • полномочия руководителей структурных подразделений Компании по вопросам всех пяти уровне полномочий
  • порядок осуществления контроля со стороны Службы внутреннего контроля Компании
  • методы выявления/идентификации риска, оценки риска, методы ограничения риска
  • методы снижения риска
  • методы оценки эффективности методологии оценки риска
  • порядок и периодичность проведения оценки эффективности методов оценки риска
  • процедуры и периодичность проведения стресс-тестирования
  • процедуры контроля за риском
  • отчеты по рискам
  • порядок действий должностных лиц при достижении сигнальных значений
  • порядок информирования о выявленных недостатках в функционировании внутренних систем
Цели и задачи Системы управления операционными и иными нефинансовыми рисками
Система управления операционными рисками (СУОР) представляет собой комплексный механизм обеспечения устойчивости бизнес-процессов через постоянный мониторинг и контроль потенциальных угроз.
Целевые показатели системы СУОР обеспечивает:
  • Стабильность операционной деятельности
  • Оптимизацию ресурсных затрат на контроль
  • Гибкость бизнес-процессов при изменениях
  • Защиту активов и репутации компании
  • Соблюдение регуляторных требований
Базовые принципы работы СУОР
Процессный подход в управлении рисками
1
Ежедневное управление
  • Фиксация инцидентов в единой системе
  • Применение стандартных контрольных процедур
  • Оперативные корректирующие действия
2
Периодический анализ
  • Ежемесячная оценка эффективности контролей
  • Квартальный пересмотр риск-профилей
  • Годовой аудит системы
3
Развитие системы
  • Постоянное обновление методик
  • Регулярное обучение сотрудников
  • Интеграция лучших отраслевых практик
Организационные механизмы СУОР
  • Включение показателей риск-менеджмента в KPI руководителей
  • Обязательные тренинги для новых сотрудников
  • Система материального стимулирования за выявление угроз
  • Автоматизированные уведомления о критических рисках
Цели системы управления операционными рисками
Минимизация потерь
  • Снижение частоты и тяжести операционных инцидентов
  • Предотвращение ущерба для финансовых результатов и репутации
Обеспечение непрерывности бизнеса
  • Поддержание стабильности ключевых процессов
  • Сокращение времени простоя при сбоях
Соблюдение регуляторных требований
  • Соответствие законодательным и отраслевым нормам
  • Предотвращение штрафов и санкций
Оптимизация ресурсов
  • Рациональное распределение затрат на контроль
  • Устранение избыточных или неэффективных процедур
Задачи СУОР
01
Идентификация и оценка рисков
  • Регулярный мониторинг угроз в операционных процессах
  • Применение единых критериев для оценки вероятности и воздействия
  • Ведение актуального реестра рисков
02
Контроль и снижение угроз
  • Разработка и внедрение стандартных мер минимизации рисков
  • Автоматизация рутинных контрольных процедур
  • Тестирование устойчивости процессов
03
Реагирование на инциденты
  • Четкие алгоритмы действий при возникновении рисков
  • Анализ причин и последствий каждого инцидента
  • Корректирующие мероприятия для предотвращения повторения
04
Интеграция в бизнес-процессы
  • Включение риск-менеджмента в ежедневные операции
  • Обучение сотрудников принципам управления рисками
  • Связь СУОР с системами внутреннего контроля и аудита
Стратегический уровень управления рисками
На высшем уровне управления осуществляется формирование базовых принципов риск-менеджмента. Совет директоров утверждает политику в области управления рисками, устанавливает общие лимиты риск-аппетита и определяет стратегические приоритеты в части контроля угроз.
Особое внимание уделяется проектированию методов управления стратегическими рисками, способными оказать существенное влияние на достижение долгосрочных целей Компании. На данном уровне также принимаются решения о распределении ресурсов для обеспечения эффективного функционирования всей системы управления рисками.
Контрольный уровень управления рисками
Ключевая роль на этом уровне принадлежит специализированному коллегиальному органу, который осуществляет регулярный мониторинг состояния риск-среды Компании. В его функции входит утверждение методик оценки рисков, анализ эффективности применяемых контрольных процедур и принятие решений о необходимости корректировки существующих подходов.
Процедура «Установление уровня риска» проводится ежеквартально и включает в себя комплексную оценку влияния выявленных угроз на операционную деятельность Компании.
Координационный уровень управления рисками
Департамент риск-менеджмента выполняет ключевую координирующую роль в системе управления операционными рисками. В его обязанности входит разработка стандартных процедур идентификации и оценки рисков, методическое сопровождение бизнес-подразделений, а также организация регулярного мониторинга риск-факторов.
Особое внимание уделяется процессу «Сопровождения СУР», который включает в себя:
  • Поддержание актуальности реестра рисков
  • Организацию регулярных риск-аудитов
  • Координацию межфункциональных рабочих групп
  • Подготовку аналитических материалов для руководства
Операционный уровень управления рисками
Руководители структурных подразделений несут персональную ответственность за управление рисками в рамках своих зон ответственности. Их полномочия включают:
  • Идентификацию потенциальных угроз в бизнес-процессах
  • Первичную оценку вероятности и последствий рисков
  • Выбор конкретных методов минимизации угроз
  • Контроль исполнения контрольных мероприятий
  • Оперативное информирование о критических инцидентах
Исполнительный уровень управления рисками
Каждый сотрудник Компании является активным участником системы управления рисками. На исполнительном уровне реализуются следующие принципы:
  • Обязательная фиксация всех выявленных риск-факторов
  • Неукоснительное соблюдение установленных контрольных процедур
  • Немедленная эскалация информации о критических ситуациях
  • Участие в регулярных тренингах по риск-менеджменту
Взаимодействие уровней управления
Эффективность системы обеспечивается четко выстроенными вертикальными и горизонтальными связями между всеми уровнями управления:
  • Информационные потоки снизу - вверх обеспечивают своевременное выявление угроз
  • Методическое руководство сверху вниз гарантирует единство подходов
  • Межфункциональное взаимодействие на одном уровне управления позволяет комплексно оценивать кросс-функциональные риски
Процедура принятия решений в области рисков
Принятие решений в области управления рисками осуществляется в строгом соответствии с делегированными полномочиями:
  • Рутинные операционные решения - на уровне исполнителей и линейных руководителей
  • Тактические решения - на уровне руководителей подразделений
  • Стратегические решения - на уровне Комитета по рискам и Совета директоров
Система контроля включает:
  • Ежедневный мониторинг ключевых показателей риска
  • Еженедельный анализ исполнения контрольных мероприятий
  • Ежемесячную отчетность перед руководством
  • Квартальные аудиты эффективности системы
Модель пяти уровней управления рисками
Принципы взаимодействия уровней управления
1
Принцип "сверху вниз" для установления границ
  • Стратегический уровень устанавливает риск-аппетит
  • Методологический уровень разрабатывает методики оценки рисков
  • Операционный уровень принимает риски в установленных границах
2
Принцип "снизу вверх" для информирования
  • Исполнительный уровень фиксирует реализацию рисков
  • Операционный уровень анализирует возникающие риски
  • Контрольный уровень оценивает соответствие принятых рисков установленным границам
3
Принцип независимости контроля
  • Контрольный уровень независим от операционного уровня
  • Методологический уровень независим от исполнительного уровня
  • Стратегический уровень осуществляет надзор за всей системой
Паспорт риска
Компании рекомендуется регулярно (не реже одного раза в год) осуществлять идентификацию и оценку рисков, присущих ее деятельности, на предмет их существенности. Для целей оценки риска в Компании вводится процедура заполнения Паспортов риска по различным направлениям деятельности согласно сложившимся в Компании бизнес-процессам.
В отношении каждого из существенных рисков Компания устанавливает в Паспорте Риска:
  • Название риска
  • Информация по риску
  • Вид риска
  • Процесс
  • Владелец риска (ответственный за риск)
  • Причины возникновения и последствия реализации риска
  • IT-угрозы
  • Методы идентификации и оценки риска
  • Вероятность реализации и метод оценки
  • Уровень принятия решения по риску
  • Методы управления и ограничения риска
  • Возможности для улучшения
  • Существующие контроли
Карта рисков и ее актуализация
Подразделение риск-менеджмента Компании организует ведение Карты рисков, где совместно с Владельцами рисков производит оценку вероятности реализации и последствии реализаций риска.
Существенность рисков определяется на основании Карты рисков в порядке снижения приоритетов по уровню риска от высокого к низкому.
Компания устанавливает регулярный процесс актуализации Карты рисков, направленный на поддержание актуальности и полноты данных о потенциальных угрозах деятельности. Процедура проводится не реже одного раза в год и включает последовательные этапы, обеспечивающие системный подход к идентификации и оценке рисков.
Этапы актуализации карты рисков
Подготовительный этап
  • Анализ текущей структуры бизнес-процессов
  • Определение круга ответственных лиц
  • Разработка и утверждение графика работ
Актуализация модели процессов
  • Пересмотр и корректировка схем бизнес-процессов
  • Определение ключевых точек контроля
  • Назначение владельцев процессов
Идентификация рисков
  • Проведение интервью с владельцами процессов
  • Анализ исторических данных об инцидентах
  • Применение методов мозгового штурма и экспертных оценок
Матрица классификации риска
Принципы работы риск-менеджера
Риск-менеджер в своей деятельности руководствуется следующими фундаментальными принципами:
Принцип комплексной процессной оптимизации
Минимизация рисков осуществляется с учетом системных взаимосвязей между бизнес-процессами:
  • Холистический анализ кросс-функциональных зависимостей
  • Оценку каскадного эффекта принимаемых решений
  • Балансировку контрольных мероприятий во всей процессной архитектуре
Принцип системной устойчивости
Реализуемые решения должны обеспечивать:
  • Синергию защитных механизмов на уровне всей организации
  • Гармонизацию риск-ориентированных мероприятий
  • Создание комплементарных контрольных сред
  • Исключение эффекта "смещения риска" между подразделениями
Принцип экономической рациональности
При выборе методов управления рисками соблюдается:
  • Соразмерность затрат на контроль потенциальному ущербу
  • Оптимизация ресурсного обеспечения защитных мер
  • Приоритет превентивных решений с максимальным ROI
  • Постоянный мониторинг cost-effectiveness принимаемых мер
Организация системы управления операционными рисками
Операционный риск – это риск негативных последствий для Компании вследствие нарушений бизнес-процессов, недостаточной эффективности бизнес-процессов и организационной структуры Компании, действий (бездействия) работников Компании, сбоев в работе или недостаточной функциональности ИТ-систем, оборудования, а также вследствие влияния внешних факторов, препятствующих достижению целей деятельности и выполнению функций Компании.
Основные составляющие операционного риска
Для целей управления операционным риском Компания организует работу по основным составляющим операционного риска:
  • простаивание Компании, в том числе отдельных его ресурсов (работников, ликвидности, техники и т.п.) в связи с неэффективными бизнес-процессами
  • простаивание Компании в связи с несовершенными информационными технологиями
  • отклонение от запланированного результата в связи с реализацией событий операционного риска
  • утрата рыночных позиций и стоимости лизингового портфеля в связи со случаями внутреннего мошенничества
  • утрата рыночных позиций в связи с нарушением коммерческой тайны и информационной безопасности
  • репутационные потери вследствие ненадлежащего исполнения обязательств Компании перед своими Контрагентами
Источники операционного риска
Основными источниками операционного риска являются:
  • процессы
  • системы
  • сотрудники
  • внешние события
Комплексная классификация операционных рисков
Операционные риски в современной организации формируются под влиянием четырех фундаментальных источников, каждый из которых имеет как традиционные проявления, так и новые цифровые аспекты:
Категории операционных рисков по причинам возникновения
Операционные риски по причинам возникновения можно классифицировать в одну из следующих категорий:
  • внутреннее мошенничество
  • внешнее мошенничество
  • трудовое законодательство и безопасность труда
  • клиенты, продукты и правила бизнеса
  • ущерб материальным активам
  • прерывание бизнес-процессов и сбои систем
  • управление исполнением, данными и процессами
Централизованная система управления операционными рисками
Компания использует централизованную систему управления операционными рисками. Система управления операционными рисками Компании включает в себя следующие элементы:
  • распределение полномочий и процедуры разработки и обеспечения политики в области управления и контроля за уровнем операционных рисков
  • совокупность отчетных и распорядительных документов, обеспечивающих принятие решения по эффективному управлению и контролю уровня операционных рисков
  • совокупность пограничных значений (лимитов), регламентов, методик и планов мероприятий по обеспечению эффективного управления и контроля уровня рисков
  • информационную систему для сбора и анализа информации об уровне операционных рисков
В процессе определения риск-аппетита и стратегии управления рисками Компания также принимает во внимание различные виды операционных и иных нефинансовых рисков.
Полномочия исполнительных органов по управлению операционными рисками
Основными задачами исполнительных органов в части управления операционными рисками являются:
  • организация работы по разработке и реализации политики по управлению операционными рисками
  • централизованное управление операционными рисками с целью достижения оптимального соотношения между доходностью лизинговых продуктов и уровнем связанных с ними операционных рисков
  • обеспечение оперативности принятия решений в области управления операционными рисками Компании
  • утверждение методик в части управления операционными рисками
  • утверждение планов мероприятий по снижению операционных рисков
  • утверждение системы лимитов по операционным рискам
Функции Риск-менеджера / Службы управления рисками
В части управления операционными рисками Риск-менеджер / Служба управления рисками:
  • участвует в разработке внутренних документов, определяющих политику по управлению операционными рисками
  • контролирует соблюдение установленных пограничных значений (лимитов) для поддержания уровня операционных рисков в допустимом диапазоне
  • инициирует внесение изменений в ключевые индикаторы рисков, используемые для оценки операционных рисков
  • осуществляет общий мониторинг операционных рисков
  • предлагает к рассмотрению Владельцам процессов программу мероприятий по минимизации риска
Основные виды операционных и иных нефинансовых рисков
Операционные и иные нефинансовые риски представляют собой группу рисков, объединенных общими отличительными признаками:
  • скрытостью
  • нестабильностью
  • встроенностью в бизнес-процессы
  • наличием репутационной составляющей
К основным видам операционных и иных нефинансовых рисков Компании также относятся:
  • налоговый риск
  • правовой риск
  • риск потери деловой репутации (репутационный риск)
  • иные нефинансовые риски, в том числе стратегический
Налоговый риск
Налоговый риск – вероятность возникновения потерь, связанных с применением юридических санкций или санкций регулирующих органов, существенными финансовыми потерями или потерей деловой репутации Компании в результате нарушения налогового законодательства или неоднозначных трактовок налогового законодательства.
Понятие налогового риска объединяет в себе некоторые аспекты операционного, репутационного и правового рисков, но выделяется как отдельный вид рисков в силу своей значимости для Компании и некоторых особенностей управления данным видом риска.
Репутационный риск
Риск потери деловой репутации (репутационный риск) – риск возникновения потерь в результате уменьшения числа клиентов вследствие формирования в обществе негативного представления о финансовой устойчивости Компании в целом в результате влияния следующих внутренних и внешних факторов:
К внутренним факторам относятся:
  • несоблюдение Компанией законодательства Российской Федерации
  • неисполнение Компанией договорных обязательств перед кредиторами и иными клиентами
  • отсутствие во внутренних документах механизмов регулирования конфликта интересов
  • неспособность Компании эффективно противодействовать легализации доходов
  • недостатки в управлении рисками Компании
  • осуществление Компанией рискованной кредитной, инвестиционной и рыночной политики
  • недостатки кадровой политики Компании при подборе и расстановке кадров
  • возникновение у Компании конфликта интересов с учредителями
К внешним факторам относятся:
  • несоблюдение аффилированными лицами Компании законодательства Российской Федерации
  • неспособность аффилированных лиц Компании эффективно противодействовать легализации доходов
  • опубликование негативной информации о Компании или ее сотрудниках в средствах массовой информации
Правовой риск
Правовой риск – вероятность возникновения потерь вследствие:
  • несоблюдения Компанией требований закона, нормативных правовых актов и заключенных договоров
  • допускаемых правовых ошибок при осуществлении деятельности
  • несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в процессе деятельности Компании)
Правовой риск также возникает в случае осуществления Компанией деятельности за пределами Российской Федерации.
Стратегический риск
Стратегический риск - это риск утраты рыночных позиций, недостижения целей деятельности или ненадлежащего выполнения функций компании из-за:
  • ошибок в стратегических решениях
  • несвоевременного реагирования на изменения рынка
  • неучета внешних угроз, влияющих на ценовую и рыночную стабильность
Процесс управления операционным риском
Организация управления операционными рисками соответствует принципам организации системы управления другими рисками и включает в себя следующие последовательные и логически связанные этапы:
01
Идентификация (выявление) риска
Выявление уровня подверженности операционной среды Компании к появлению тех или иных неблагоприятных событий и предполагает анализ всех условий функционирования Компании
02
Измерение (оценка) риска
Проводится по двум параметрам: оценка вероятности наступления события и оценка силы воздействия
03
Мониторинг риска
Нацелен на выявление причины реализации того или иного операционного риска, а также на выявление критических уязвимостей в бизнес-процессах
04
Контроль и/или минимизация риска
Заключается в осуществлении ряда мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к убыткам
Инструменты идентификации рисков
Сбор и анализ событий (инцидентов) риска
Основным инструментом идентификации рисков является сбор данных о реализовавшихся в Компании событиях операционных рисков, а также о потенциальных потерях. В сборе данных должны принимать участие все без исключения работники Компании.
Самооценка
Процесс проведения экспертных опросов по существующим лизинговым продуктам / бизнес-процессам / направлениям деятельности / информационным системам с целью выявления потенциальных и реализовавшихся операционных рисков.
Оценка рисков новых продуктов (проектов)
В процессе рассмотрения и одобрения новых продуктов (проектов) инициатор Компании привлекает к рассмотрению продукта Подразделение риск-менеджмента.
Система мониторинга операционных рисков
Классификация потерь от операционных рисков
Риск-профиль как инструмент управления СУОР
Риск-профиль – это комплексная характеристика операционных рисков Компании, отражающая:
Качественные параметры:
  • Типология ключевых операционных рисков
  • «Карта» наиболее уязвимых бизнес-процессов
  • Специфические отраслевые угрозы лизинговой деятельности
Количественные показатели:
  • Уровень толерантности к рискам (risk appetite)
  • Лимиты допустимых потерь по категориям
  • Расчетные показатели вероятности и воздействия
Динамические аспекты:
  • Тренды изменения риск-ландшафта
  • Эффективность применяемых контролей
  • Прогнозируемые сценарии эскалации рисков
Функции риск-профиля:
  • Является основой для распределения ресурсов контроля
  • Позволяет выстраивать приоритеты управления
  • Служит benchmark для оценки эффективности СУОР
  • Интегрируется в стратегическое планирование
Механизм актуализации включает ежеквартальный анализ инцидентов и корректировку при изменениях в бизнес-модели, регуляторных требованиях, ИТ-инфраструктуре, рыночных условиях.