? Отчётность по управлению рисками (англ. risk management reporting) – завершающий этап управления рисками, предусматривающий раскрытие информации об уровне принимаемого риска и инструментарии по управлению им.

Система управления рисками строится как интегрированная система применения следующих инструментов и методов:

? методов идентификации и оценки уровня принимаемых рисков;

? инструментов установления лимитов и ограничений на основные финансовые инструменты и операции, а также процедуры их контроля;

? инструментов хеджирования и страхования рисков;

? методов распределения полномочий и ответственности на всех этапах принятия решений между структурными подразделениями и должностными лицами организации;

? инструментов мониторинга ключевых рисков и их периодической оценки, текущего и последующего контроля качества управления активами/пассивами и уровнем принимаемых рисков;

? инструментов составления и анализа отчётности об оценочных триггерах и принимаемых рисках;

? инструментов информационно-технологического обеспечения возможности учёта сделок/операций, подверженных рискам.

Управление рисками базируется на принципах открытости, осторожности, а также основывается на:

? осведомлённости о риске (англ. risk awareness), при которой все сотрудники организации, осуществляющие операции, сопряжённые с риском, осведомлены о риске операций, обладают необходимыми навыками его идентификации, анализа и оценки и минимизации[8];

? принципе обеспечения т. н. «трёх линий защиты» (англ. three lines of defense), состоящих из:

• первой линии (принятие рисков) (англ. first line (risk taking), в которой структурные подразделения, принимающие риски (бизнес-подразделения), должны стремиться к достижению поставленных задач по развитию бизнеса с учётом оптимального соотношения доходности и риска, осуществлять мониторинг решений по принятию риска, учитывать профили рисков, внедрять эффективные бизнес-процессы, участвовать в процессах идентификации и оценки рисков, соблюдать требования нормативных правовых документов;

• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;

• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.

1.2. Методика идентификации рисков и их лимитирование

Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам риска, и её главной целью является необходимость в определении:

? процесса идентификации[9] рисков и его периодичности;

? базы типов риска;

? реестра идентифицируемых рисков;

? методов оценки и выявления значимых рисков;

? состава и процесса составления карты рисков[10].

Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы[11] риска, а также его величины[12].

Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.

Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.

Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения[13], выделяет следующие методы идентификации рисков:

? анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;

? анализ заключений рейтинговых агентств;

? анализ результатов внешних и внутренних проверок деятельности организации;