#статьи
- 19 май 2022
-
0
Управление рисками в проекте: как найти и оценить, как составить план защиты от них
Основы управления рисками для менеджеров, которые работают с проектами. Какими бывают риски и как на них реагировать. Пересказ лекции Google.
Кадр: фильм «Исходный код»
Обозреватель Skillbox Media по маркетингу и IT. С 2015 года работает с SEO, таргетированной и контекстной рекламой. Писала для Skypro, Yagla и Admitad.
Риски — неотъемлемая часть любого проекта, от семейного праздника до строительства гидроэлектростанции. Ни один проект не следует плану на 100%, даже если им руководит опытный менеджер. Управление рисками — отрасль проектного управления со своими техниками и методиками.
Мы перевели и пересказали главное из лекции об основах управления рисками «Risk Management Basics», которую подготовили в Google для курса по управлению проектами.
- Что такое риски в проекте
- Самые распространённые виды рисков
- Как найти риски в проекте и оценить их
- Вы нашли риски: что с ними делать
- Как составить план по управлению рисками
Есть много определений риска, но мы дадим очень простое. Риск — это негативное событие, которое может произойти, а может и не произойти. Риски нужно отличать от проблем: риск станет проблемой, только если негативное событие произойдёт.
Проблемы мешают выполнению задач проекта. Если вы руководите проектом, вы должны помнить, что несёте ответственность за риски.
Вот несколько примеров рисков и проблем, к которым они привели.
- Целью проекта было опубликовать исследование, но ведущий аналитик уволился, когда была готова только половина. Дедлайн сорвали, и задачу в срок не выполнили.
- Спрос на товар резко вырос, и поставщик не смог поставить требуемое количество. Полки магазина опустели.
- Компания продавала в офисы растения, которые почти не требуют ухода. Однако у поставщиков закончились специфические растения, в которых нуждалась компания, — папоротники и кактусы.
Когда вы понимаете, какие риски есть в проекте, вы можете принять меры предосторожности — например, обратиться за консультацией. Если что-то пойдёт не так, у вас будет план, как решить проблему.
Управление рисками в проекте — это процесс поиска, оценки и предотвращения потенциальных проблем. Этот процесс регулярный, превентивных действий на старте проекта недостаточно.
Управление рисками не только снижает влияние негативных ситуаций на проект. Оно высвобождает ресурсы: материальные, трудовые.
Есть разные классификации рисков. Мы назовём виды рисков, которые упоминают чаще остальных.
Временные риски. Это вероятность того, что на выполнение задач в проекте уйдёт больше времени, чем запланировано. Помните о сроках, потому что время — это ресурсы. Если команда тратит много времени на задачи, растёт и фонд оплаты труда. Кроме того, стейкхолдеры проекта могут разочароваться из-за задержек.
Бюджетные риски. Из-за плохого планирования стоимость проекта может оказаться больше, чем заложено в бюджете. Обычно бюджет закладывают перед запуском проекта, тогда же планируют траты по статьям. Если команда не уложится в план, потребуются дополнительные средства, и если их не будет, проект остановится.
Риски изменения объёмов работы. Они могут появиться, если исполнители не поняли требований заказчика или он сам внёс в проект изменения. Это может привести к пересмотру бюджета, сроков и списка задач.
Внешние риски. Это потенциальные события, которые находятся за пределами компании и которые компания не может контролировать. Например, на проект могут повлиять новые законы.
Единая точка отказа. Так называют единственное событие, которое может остановить всю работу над проектом. Ни один член команды не сможет дальше выполнять свои задачи, пока проблема не решится. Например, для интернет-магазина единой точкой отказа может стать отключение электричества в офисе. Если доступ к инструментам, таким как CRM, был только из офиса, вся команда не сможет выполнять задачи.
В результате команда не выполнит ни одной задачи. Зная об этой точке отказа, можно принять меры: создать резервные копии сервисов и информации в облаке.
Зависимости. Это связи между двумя задачами в проекте: когда начало одной задачи зависит от завершения другой. Зависимости часто становятся риском для проекта.
Например, один из членов команды должен подписать контракт с заводом-поставщиком. Пока контракта нет — остальная команда не может выполнить ни один заказ. Если вовремя не подписать документ, то проект не закончат в срок.
Другой пример. Участник команды уходит в отпуск. Если он отвечал за критические процессы, то другие участники не смогут выполнять свои задачи. От этого риска можно было бы защититься, узнав о планах членов команды с самого начала.
Зависимости могут быть внутренними и внешними. Внутренние — зависимости внутри проекта. Например, чтобы начать разработку сайта, нужно сначала утвердить его дизайн.
Внешние зависимости — зависимости, над которыми у команды нет контроля. Например, компания покупает у фермы овощи для продажи, и если лето окажется засушливым или слишком дождливым, урожая будет меньше — а значит, компания не получит достаточно овощей.
Рисков, которые могут повлиять на ваш проект, много. Нельзя предугадать их все, но можно проработать большинство из них. В следующем разделе мы рассмотрим методы поиска рисков.
Самый эффективный способ найти риски — мозговой штурм с командой проекта. Так каждый сможет предложить свои идеи. Лучше, если в мозговом штурме будут участвовать люди, занимающие разные роли в проекте, имеющие разный бэкграунд. Люди с разным опытом и набором навыков помогут найти риски, о которых руководитель не догадывается.
Некоторые члены команды участвовали в нескольких проектах внутри компании. Они поделятся информацией об опасностях, с которыми столкнулись коллеги. Новичок может рассказать об опыте команд, в которых он работал раньше.
Чтобы структурировать информацию, полученную во время мозгового штурма, используйте диаграмму Исикавы. Диаграмма, известная как «рыбьи кости», наглядно показывает причинно-следственные связи.
В «голову» рыбы помещают риск, который нужно проанализировать. На «костях» пишут причины, которые могут привести к негативному событию. К ним могут вести «кости» поменьше — причины второго порядка. Иногда добавляют третий, четвёртый и даже пятый уровни.
Вот диаграмма Исикавы, составленная для анализа проблемы — у компании низкие продажи.
Инфографика: Майя Мальгина для Skillbox Media
Например, есть риск, что поставщики вовремя не доставят товар. На диаграмму поместят следующие причины:
- нет инструментов отслеживания;
- государство может ввести ограничения;
- нет человека, который отвечает за доставку товара.
Может оказаться, что список рисков слишком большой. Это нормальный результат для такого анализа. Нужно будет выбрать самые важные риски, на которых сосредоточится команда.
Для оценки рисков используйте матрицу вероятности и последствий. С помощью неё вы поймёте, о каких рисках нужно помнить в первую очередь.
Сначала проанализируйте, какие последствия могут быть, если риск превратится в проблему. Используйте шкалу:
- Сильный эффект — если проблема может сорвать проект или существенно его изменить.
- Средний — если событие может повлиять на проект, но это можно поправить.
- Слабый — если риск незначительно повлияет на проект, но точно его не сорвёт.
Потом оцените вероятность того, что риск возникнет:
- Высокий — высокая вероятность риска.
- Средний — риск есть.
- Низкий — скорее всего, риска нет.
Затем нужно собрать оценки вероятности и силы последствий на одной шкале и разбить риски на несколько групп.
- Если вероятность низкая, а последствия дадут слабый эффект, то об этом риске не стоит беспокоиться. Просто имейте в виду, что он есть.
- Если вероятность высокая и последствия дадут сильный эффект, о защите от этого риска нужно позаботиться в первую очередь.
Несколько незначительных рисков обычно меньше влияют на проект, чем один риск высокого уровня. Последние чаще приводят к тому, что проект срывается. Поэтому работайте сначала с проблемами высокого и среднего уровня.
Используйте разные цвета, чтобы выделить приоритетные задачи. Так участник команды, увидев таблицу, сразу поймёт, с какими рисками нужно работать в первую очередь.
Есть четыре основные стратегии, как реагировать на риски. Можно попробовать избежать рисков, принять их, передать их другой команде; их также можно уменьшить и контролировать.
Рассмотрим каждый способ.
Избегать. Иногда вы можете избежать риска полностью. Например, если вы сомневаетесь в надёжности подрядчика, который часто не соблюдает сроки, вы можете перестать работать с ним.
Принять. Этот способ подойдёт для рисков с низкой или средней вероятностью и без тяжёлых последствий для проекта. Нужно принять, что такой риск существует, и отслеживать его всё время до окончания проекта.
Представим, что поставщик неожиданно заявил, что у него нет нужных вам компонентов, однако он пополнит запасы в ближайшее время. Возможно, это скажется на сроках проекта.
Можно начать работу с другим поставщиком, но такой риск лучше принять. Это имеет смысл, если задержки не критичны для проекта. Если не искать нового поставщика и смириться с риском, это избавит команду от лишней работы.
Уменьшить или контролировать. Для смягчения риска используйте дерево решений. Это блок-схема, которая показывает, какие решения существуют для каждой проблемы. Например, если компания работает с исполнителем, который срывает сроки, ему можно постоянно напоминать о задаче: отправлять имейлы каждый день или звонить.
Передать риски. Если команда понимает, что не может снизить риски для какой-то группы задач, она может передать их специализированным компаниям. Иногда это помогает сэкономить время и деньги.
План по управлению рисками — это документ, который описывает возможные риски и способы их снизить. Если у вас есть такой план, все члены команды и заказчики будут в курсе, какие проблемы могут возникнуть во время реализации проекта. Документ нужно постоянно дополнять, так как новые риски могут появиться на любом этапе проекта.
План можно создать в «Google Документах». Так все члены команды будут иметь к нему доступ. Укажите название компании, название проекта и кто создал этот документ — чтобы было понятно, к кому обращаться, если возникнут вопросы. Также можно написать, когда документ был создан и когда обновлялся в последний раз. Так команда будет понимать, насколько он актуален.
Скриншот: Google Career Certificates / YouTube
Далее напишите цель документа: смягчить последствия рисков в проекте. В план нужно добавить краткое описание проекта — и написать, какие проблемы проект переживёт, а какие риски могут его изменить.
Следующая часть — самая важная. Создайте таблицу, в которой вы распишете все возможные риски, оцените их и добавьте возможные решения для каждого. Как это сделать, мы разобрали в предыдущих разделах.
Например, один из рисков — поставщик не успевает уложиться в сроки. У этого риска средний уровень. Для снижения риска есть решение: ежедневно созваниваться с поставщиком.
Важно, чтобы не только команда знала о планах. Обязательно встретьтесь с заказчиком или напишите ему письмо, чтобы рассказать, какие риски есть у проекта.
Так вы уже в начале проекта будете понимать, поможет ли заказчик решить проблемы, если они возникнут. Например, если заказчик предупредил, что он не сможет увеличить бюджет, вы учтёте, что работаете с ограниченными ресурсами и дополнительных средств не будет.
Если вы не расскажете о рисках заказчику заранее, в середине проекта они могут стать неприятным сюрпризом. Так вы можете подорвать доверие к себе и всей компании. Если же заинтересованные стороны знают о рисках, все понимают, чего потенциально можно ожидать при работе над проектом.
Особенно важно поговорить с заказчиком, если есть риски высокого уровня. В таком случае лучше встретиться с ним и пообщаться лично. Возможно, вы найдёте совместные решения. Риски среднего и низкого уровня можно обсудить по электронной почте.
Все риски обнаружить невозможно, и это нормально. Но если вы предусмотрите значительную часть из них и придумаете решения, вы будете лучше подготовлены к проблемам.
- Риски — это возможные негативные ситуации, которые могут помешать выполнению проекта. Проблемы — это воплотившиеся риски.
- Самые распространённые виды рисков: временные, бюджетные, нарушения в зависимостях, внешние, а также единые точки отказа — события, которые останавливают всю работу команды.
- Ищите риски с помощью мозговых штурмов, анализируйте их с помощью диаграммы Исикавы, а потом оценивайте их эффект и вероятность.
- На риски можно реагировать с помощью одной из четырёх стратегий: избегать, принять, контролировать или передать другой команде.
- Список самых опасных рисков и список мер, с помощью которых команда будет на них реагировать, вносят в план по управлению рисками.
Другие материалы Skillbox Media по управлению проектами
- Что такое проект: разбираем главное понятие проектного управления
- Kanban: рассказываем, как работает эта методика
- Как планировать проекты и следовать графику работ с диаграммами Ганта
- Что такое Agile: методология, команда, оценка эффективности
- Как работает Scrum и как управлять проектом с помощью этой методики
Научитесь: Профессия Менеджер проектов
Узнать больше
Утверждено
Советом директоров ПАРТАД
(протокол N 06/2011 от 21.09.2011)
Согласовано
ФСФР России
(исх. N 11-СХ-02/29590 от 16.11.2011)
РУКОВОДСТВО
ПО СОЗДАНИЮ (СОВЕРШЕНСТВОВАНИЮ) СИСТЕМЫ МЕР УПРАВЛЕНИЯ
РИСКАМИ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
1. Общие положения
Руководство по созданию (совершенствованию) системы мер управления рисками деятельности по ведению реестра (далее — Руководство) определяет основные принципы организации, реализации и контроля процессов управления рисками в организации. Руководством определены первоочередные действия по выстраиванию системы мер управления рисками.
Управление рисками деятельности по ведению реестра в соответствии с данным Руководством позволит снизить возможные потери, как самой организации, так и ее клиентов. Реализация рисков регистраторской деятельности может создавать угрозу финансовой устойчивости организации, а также оказывать негативное влияние на состояние учетной системы и финансового рынка в целом.
В соответствии с Руководством профессиональный участник, осуществляющий деятельность по ведению реестра, определяет цели и задачи управления рисками, принципы и требования к функционированию системы управления рисками, организационную структуру управления рисками, принципы финансирования системы мер управления рисками, ключевые индикаторы риска.
Управление рисками осуществляется должностным лицом — руководителем подразделения управления рисками. Система мер управления рисками может являться частью системы внутреннего контроля организации. В этом случае управление рисками возлагается на контролера организации, либо на структурное подразделение под руководством контролера. Организации рекомендуется оценить целесообразность создания подразделения (назначения дополнительного сотрудника), отвечающего за координацию и централизацию управления операционными рисками.
Порядок взаимодействия службы управления рисками и службы внутреннего контроля определяется соответствующим регламентом, утвержденным руководителем организации.
Руководство разработано на основе изучения и обобщения сложившейся практики управления рисками учетных институтов, типовых нарушений, выявляемых в ходе проверок регистраторов, судебной практики, практики страхования и урегулирования убытков учетных институтов, международных требований к управлению операционными рисками, учитывает положения концептуальных основ управления рисками, в том числе рекомендации Базельского комитета по банковскому надзору.
Документ предназначен для руководителей и специалистов всех уровней управления организации, ее структурных подразделений, филиалов, а также других участников процессов управления рисками и заинтересованных сторон.
Представленные в данном Руководстве перечни документов, методика оценки рисков, классификатор рисков деятельности по ведению реестра, перечень ключевых индикаторов рисков предлагаются к использованию всеми организациями, осуществляющими деятельность по ведению реестра владельцев именных ценных бумаг (далее — организация), формирующими систему мер управления рисками. При этом, организация вправе самостоятельно разрабатывать соответствующие документы и/или использовать уже утвержденные ее внутренние документы по управлению рисками, в том случае, если они позволяют достичь результатов, соответствующих требованиям данного Руководства.
Система мер управления рисками деятельности по ведению реестра конкретной организации, созданная до принятия настоящего Руководства, должна быть оформлена внутренними документами организации, регламентирующими деятельность по управлению рисками, содержать формы отчетности службы управления рисками, документы, подтверждающие эффективность ее функционирования и поясняющие соответствие применяемой системы мер управления рисками деятельности по ведению реестра требованиям настоящего Руководства.
2. Основные термины, определения и сокращения
Владелец риска — руководитель подразделения, на стратегические или операционные цели которого оказывает прямое влияние данный риск. Владелец риска отвечает за идентификацию, оценку и мониторинг управления риском и назначается руководителем организации.
Внутренний контроль — контроль за соответствием деятельности организации требованиям законодательства Российской Федерации о рынке ценных бумаг, в том числе нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг, законодательства Российской Федерации о защите прав и законных интересов инвесторов на рынке ценных бумаг, законодательства Российской Федерации о рекламе, а также соблюдением внутренних документов профессионального участника, связанных с его деятельностью на рынке ценных бумаг.
Классификатор рисков — перечень рисков с ключевой информацией по ним, которые далее могут быть конкретизированы посредством детализации информации об объектах, подверженных данным рискам, субъектах влияния рисков, сроках, нормативных актах, проектах, контрагентах и другой релевантной информацией, дающей полное понимание рассматриваемой рисковой области.
Ключевые индикаторы рисков (КИР) — количественные или качественные показатели источников (факторов) риска. Данные показатели характеризуют концентрацию рисков, в том числе накопившиеся негативные события в соответствующем подразделении организации.
Координатор системы мер управления рисками (СУР) — сотрудник функционального подразделения/службы, ответственный за мониторинг и предоставление информации по операционным рискам руководителю управления рисками.
Матрица рисков деятельности по ведению реестра — таблица, используемая для оценки уровня указанных в ней групп рисков.
Операционный риск — риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, противоправными действиями либо с внешними событиями (согласно решению Базельского комитета по банковскому надзору — Section 644, Basel II, 2004 г.).
Паспорт риска — документ, содержащий необходимую информацию о риске, включая источник риска, владельца риска, мероприятия по управлению риском, процедуры реагирования, КИР.
Последствия риска — события, которые наиболее вероятно наступят после реализации риска. Последствия риска выражаются во влиянии на эффективность и сроки исполнения задач, финансовый результат, репутацию, надежность предоставления услуг, человеческие ресурсы и другие факторы достижения стратегических и операционных целей организации.
Руководитель подразделения управления рисками — лицо, ответственное за координацию процессов управления рисками организации и его филиалов, в частности, сбор и актуализацию информации о рисках, консультирование владельцев рисков по методологии управления рисками, обеспечение информацией заинтересованных сторон.
Система мер управления рисками (СУР) — совокупность процессов, методик, информационных систем, направленных на достижение целей и задач управления рисками. Система мер управления рисками регистратора должна соответствовать виду деятельности и характеру операций, а также должна включать механизм мониторинга рисков, обеспечивающий своевременное доведение информации до сведения органов управления организации.
Страховая сумма (лимит ответственности) — размер денежных средств, указанный в договоре страхования (полисе), в пределах которого страховщик несет ответственность перед страхователем.
Субъекты внутреннего контроля — Совет директоров, Генеральный директор (Правление), подразделение внутреннего контроля, служба управления рисками, а также подразделения и сотрудники организации и филиалов, ответственные за выполнение закрепленных за ними (внутренними документами организации) функций внутреннего контроля и управления рисками.
Целевые показатели по ограничению рисков — показатели, рассчитанные на основе статистических данных за предыдущий отчетный период деятельности организации, определяющие допустимый уровень риска.
3. Система мер управления рисками (СУР)
СУР включает в себя цели, задачи, принципы, приоритетные области в управлении рисками, классификатор рисков деятельности по ведению реестра.
3.1. Цели и задачи СУР
Цели и задачи СУР представлены в таблице 1.
Таблица 1. Цели и задачи СУР
┌───────────────────┬─────────────────────────────────────────────────────┐ │ Цели │ Задачи │ ├───────────────────┼─────────────────────────────────────────────────────┤ │Обеспечение │- Идентификация и оценка событий, влияющих на│ │гарантии достижения│ достижение стратегических целей; │ │стратегических │- Обеспечение превентивных мероприятий по│ │целей │ минимизации вероятности и негативного влияния│ │ │ рисков на цели; │ │ │- Стратегическое планирование с учетом рисков; │ │ │- Своевременное информирование руководителя│ │ │ организации и заинтересованных сторон о наличии│ │ │ угроз и возможностей. │ ├───────────────────┼─────────────────────────────────────────────────────┤ │Сохранение активов│- Выявление, оценка и управление рисками│ │и поддержание│ деятельности по ведению реестра; │ │эффективности │- Обеспечение информацией о рисках при принятии│ │бизнеса │ управленческих решений; │ │ │- Формирование Матрицы рисков деятельности по│ │ │ ведению реестра; │ │ │- Создание и управление системой ключевых│ │ │ индикаторов риска (КИР) и целевых показателей по│ │ │ ограничению рисков; │ │ │- Предупредительные мероприятия в отношении│ │ │ противоправных действий. │ ├───────────────────┼─────────────────────────────────────────────────────┤ │Обеспечение │- Формирование программ реагирования на рисковые│ │непрерывности │ ситуации; │ │ведения реестра │- Регламентирование процессов локализации│ │ │ последствий рисковых событий; │ │ │- Координация, обеспечение и оценка эффективности│ │ │ своевременного реагирования на чрезвычайные│ │ │ ситуации; │ │ │- Использование дополнительных источников│ │ │ финансирования расходов возможных убытков и их│ │ │ последствий (страхование деятельности и/или│ │ │ отчисления в компенсационный фонд). │ └───────────────────┴─────────────────────────────────────────────────────┘
3.2. Принципы и требования к функционированию СУР
СУР организации создается в соответствии со следующими принципами:
— управление рисками осуществляется, исходя из поставленных на уровне стратегии развития организации целей, а также целей конкретных процессов и функций;
— управление рисками осуществляется на постоянной основе, на всех этапах проведения операций в реестрах;
— решения о минимизации рисков принимаются на различных уровнях управления организации в зависимости от значимости рисков;
— в процесс управления рисками организации вовлечены руководители и сотрудники структурных подразделений;
— наличие в организации формализованного процесса управления рисками (регламенты, должностные инструкции);
— осуществление контроля (административного и финансового) за соблюдением установленных в организации процедур, в соответствии с требованиями документов, регламентирующих СУР организации;
— информационное обеспечение СУР осуществляется с использованием единого маршрута движения информации:
а) движение информации о рисках для принятия решений осуществляется от более низких уровней управления к более высоким;
б) решения по минимизации рисков, а также контроль управления рисками распространяется от более высоких уровней управления к более низким.
СУР разрабатывается и функционирует в соответствии со следующими требованиями:
1. Наличие подразделения и/или должностного лица по управлению рисками.
2. Наличие регламента деятельности подразделения и/или должностного лица по управлению рисками.
3. Наличие методики оценки рисков деятельности по ведению реестра.
4. Наличие разработанного классификатора рисков деятельности по ведению реестра.
5. Ведение базы данных по группам рисков деятельности по ведению реестров, а также наличие первичных документов для ведения базы данных (например, Паспорт риска).
6. Наличие плана мероприятий организации по управлению рисками деятельности по ведению реестра.
7. Составление с установленной периодичностью отчетности по рискам деятельности по ведению реестра.
8. Утверждение показателей контроля эффективности управления рисками деятельности по ведению реестра (например, ключевые индикаторы риска).
9. Наличие договора страхования деятельности по ведению реестра, отвечающего Условиям регистрации договоров страхования регистраторов — членов ПАРТАД.
3.3. Классификатор рисков деятельности по ведению реестра
Ключевым основанием для классификации рисков организации являются ее функциональные области деятельности. Для упрощения идентификации рисков предлагается использовать примерный Классификатор рисков деятельности по ведению реестра (приложение 1).
Риски деятельности по ведению реестра рекомендуется классифицировать на случаи убытков вследствие:
— ошибок и/или ненадлежащего исполнения обязанностей сотрудниками;
— противоправных действий сотрудников и/или третьих лиц (включая электронные и компьютерные преступления);
— сбоев, повреждений электронного и/или компьютерного оборудования, программного обеспечения;
— гибели, повреждения документов и архива в результате затопления, пожара и т.д.;
— ненадлежащих действий клиентов и/или контрагентов регистратора/депозитария;
— неоднозначной и/или недостаточной правовой базы для осуществления профессиональной деятельности (правовые риски).
3.4. Методика оценки уровня рисков деятельности по ведению реестра
Предлагаемая методика оценки рисков деятельности по ведению реестра (далее — Методика) основана на балльно-весовом методе заполнения Матрицы рисков деятельности по ведению реестра. В рамках применяемого балльно-весового метода выделяются группы рисков и определяются их относительные значимости — присваиваются весовые коэффициенты (таблица 2).
В соответствии с примерным Классификатором рисков деятельности по ведению реестра, риски группируются в зависимости от масштабов потерь при их реализации и последующих убытков. В данной Методике оценка рисков осуществляется по 3-ступенчатой шкале, в которой каждой группе рисков присваивается коэффициент риска (ГРi): 3 — максимальный, 2 — средний, 1 — минимальный. В дальнейшем возможна детализация рисков и, соответственно, использование шкалы с коэффициентом, например, от 1 до 5 и т.д.
Таблица 2. Группировка рисков деятельности по ведению
реестра в зависимости от тяжести последствий их реализации
┌─────────────────────────────────────────────────────┬───────────────────┐ │ Группа риска │ Коэффициент риска │ ├─────────────────────────────────────────────────────┼───────────────────┤ │1. Противоправные действия сотрудников и третьих лиц │ 3 │ │ (включая электронные и компьютерные преступления) │ │ ├─────────────────────────────────────────────────────┼───────────────────┤ │2. Риски регулирования │ 3 │ ├─────────────────────────────────────────────────────┼───────────────────┤ │3. Ошибка и/или ненадлежащее исполнение обязанностей │ 2 │ │ персоналом │ │ ├─────────────────────────────────────────────────────┼───────────────────┤ │4. Сбои, повреждения электронного и/или компьютерного│ 2 │ │ оборудования, программного обеспечения │ │ ├─────────────────────────────────────────────────────┼───────────────────┤ │5. Риски клиентов и контрагентов │ 2 │ ├─────────────────────────────────────────────────────┼───────────────────┤ │6. Правовые риски │ 2 │ ├─────────────────────────────────────────────────────┼───────────────────┤ │7. Гибель, повреждение документов и архива в │ 1 │ │ результате затопления, пожара и т.д. │ │ └─────────────────────────────────────────────────────┴───────────────────┘
Для построения Матрицы рисков деятельности по ведению реестра необходимо учитывать вероятность реализации той или иной группы рисков. В случае отсутствия выявленных нарушений, сбоев, ошибок, противоправных действий по соответствующей группе рисков, указанной группе присваивается коэффициент вероятности их реализации 0,1 (минимальная вероятность), при однократном выявлении — 1 (средняя вероятность), при более чем однократном — 2 (высокая вероятность). Элементы Матрицы рисков заполняются на основании данных Паспорта рисков (приложение 2), либо иных исходных документов.
Для формирования Матрицы рисков деятельности по ведению реестра используется формула 1:
, (1)
Где:
— уровень риска по группе i;
— коэффициент риска;
— коэффициент вероятности.
Таблица 3. Матрица рисков деятельности по ведению реестра
┌──────────────────────────┬─────┬───────────────┬────────────┬───────────┐ │ Группа риска/количество │ ГРi │ Отсутствует │Однократное │ Выявлено │ │ выявленных событий по │ │ │ выявление │ более │ │ группам рисков │ │ │ │ одного │ │ │ │ │ │ события │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │ В │ │ 0,1 │ 1 │ 2 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │1. Противоправные │ 3 │ 0,3 │ 3 │ 6 │ │ действия сотрудников и │ │ │ │ │ │ третьих лиц (включая │ │ │ │ │ │ электронные и │ │ │ │ │ │ компьютерные │ │ │ │ │ │ преступления) │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │2. Риски регулирования │ 3 │ 0,3 │ 3 │ 6 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │3. Ошибка и/или │ 2 │ 0,2 │ 2 │ 4 │ │ ненадлежащее исполнение│ │ │ │ │ │ обязанностей персоналом│ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │4. Сбои, повреждения │ 2 │ 0,2 │ 2 │ 4 │ │ электронного и/или │ │ │ │ │ │ компьютерного │ │ │ │ │ │ оборудования, │ │ │ │ │ │ программного │ │ │ │ │ │ обеспечения │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │5. Риски клиентов и │ 2 │ 0,2 │ 2 │ 4 │ │ контрагентов │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │6. Правовые риски │ 2 │ 0,2 │ 2 │ 4 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │7. Гибель, повреждение │ 1 │ 0,1 │ 1 │ 2 │ │ документов и архива в │ │ │ │ │ │ результате затопления, │ │ │ │ │ │ пожара и т.д. │ │ │ │ │ └──────────────────────────┴─────┴───────────────┴────────────┴───────────┘
После формирования Матрицы рисков выявляется зона максимального риска в деятельности организации и разрабатывается комплекс мероприятий по снижению рисков, в том числе:
— план мероприятий по модернизации, совершенствованию системы внутреннего контроля, службы управления рисками и/или соответствующих служб организации, выполняющих функции по обеспечению надежности осуществления деятельности организации;
— обоснование страхового лимита по договору страхования профессиональной деятельности;
— обоснование размеров ежегодных отчислений в компенсационный фонд.
4. Мониторинг рисков и информационное обеспечение системы мер управления рисками. План мероприятий по управлению рисками деятельности по ведению реестра
Процесс управления рисками деятельности по ведению реестра начинается с их идентификации в соответствии с Классификатором рисков и осуществляется на всех уровнях управления организации.
При идентификации риска определяется следующая информация:
— наименование риска;
— описание риска;
— источники риска;
— последствия риска;
— владелец риска и лицо, предоставляющее информацию по риску;
— ключевые индикаторы риска.
Полученная информация вносится в Паспорт риска (приложение 2) либо в иные внутренние документы регистратора. Мониторинг рисков заключается в контроле над уровнем риска. Это достигается путем актуализации на регулярной основе (ежеквартально) информации о рисках (в т.ч. сведений о претензиях, результатах проверок и т.д.), о мероприятиях по управлению рисками, о статусе выполнения мероприятий, а также мониторингом значений ключевых индикаторов риска (КИР). Отслеживание КИР всех подразделений организации выполняется подразделением управления рисками и/или службой внутреннего контроля на регулярной основе, в зависимости от значимости рисков и уровня принятия решения об управлении риском.
Результаты мониторинга рисков должны содержаться в виде базы данных, реализованной на любой информационной платформе (в т.ч. средствами MS Office). База данных о рисках представляет собой полный спектр связанной информации, которая может быть представлена в виде перечня рисков и Паспорта каждого из рисков.
Информация о рисках используется в процессе принятия решений. Данный принцип означает, что информация о рисках, их величине, текущих и возможных мероприятиях по управлению рисками доступна и может быть предоставлена по первому требованию (при наличии обоснования использования такой информации) любому должностному лицу организации в рамках его компетенции.
Порядок внесения информации и ведения базы данных по рискам разрабатывается руководителем подразделения управления рисками и утверждается руководителем организации. Принятие решения о степени и глубине автоматизации процесса управления рисками остается на усмотрение руководителя организации.
На основе проведения мониторинга рисков разрабатывается годовой План мероприятий по управлению рисками деятельности по ведению реестра (Приложение 3), Целевые показатели по ограничению рисков деятельности по ведению реестра (Приложение 4).
План мероприятий содержит наименование мероприятия, ответственное лицо и подразделение, срок исполнения и/или периодичность и т.д.
Целевые показатели организации по ограничению рисков могут быть соотнесены с КИР: например, отклонение (невыполнение) плана по тем или иным целевым показателям деятельности организации может рассматриваться в качестве КИР.
5. Распределение полномочий и ответственности за эффективное функционирование системы мер управления рисками деятельности по ведению реестра
5.1. Уровни управления рисками
Управление рисками в организации должно быть многоуровневым и делится, согласно уровням организационного управления организации, как правило, следующим образом:
— уровень Совета директоров организации;
— уровень Правления либо Генерального директора организации;
— уровень линейного менеджмента (руководители структурных подразделений).
Для каждого из уровней СУР существует порог принятия решения, который является предельной величиной риска, при превышении которой принятие решения по управлению риском передается на следующий вышестоящий уровень.
5.2. Организационная структура управления рисками
Организационная структура управления рисками соответствует уровням управления организации.
В организации функции по координации процессов управления рисками, сбору информации, консультированию владельцев рисков по методологии управления рисками осуществляет руководитель подразделения по управлению рисками, а также координаторы СУР в составе соответствующих подразделений (внутреннего контроля, юридической службы, финансовой службы, IT подразделения, службы безопасности, аудита и т.д.). В филиалах организации назначаются ответственные за сбор информации по рискам — координаторы СУР.
Координаторы СУР и руководитель подразделения управления рисками организации осуществляют свою деятельность на основе единых подходов и методик. Координаторы управления рисками в филиалах функционально подотчетны руководителю службы управления рисками организации.
5.3. Роли и ответственность участников СУР
Роли и ответственность распределяются в СУР следующим образом:
Генеральный директор (Правление) организации определяет:
— состав, порядок и сроки разработки внутренних документов организации в области управления рисками;
— распределяет полномочия между структурными подразделениями в сфере управления рисками;
— обеспечивает разграничение должностных обязанностей и их исполнение на всех уровнях;
— обеспечивает принятие необходимых управленческих решений для реализации СУР организации.
Ответственность за эффективность СУР несет Генеральный директор (Правление) организации.
Ответственность за решение кросс-функциональных (межпроцессных или выполняемых одновременно несколькими функциональными подразделениями) задач по управлению рисками, а также формирование бюджетов на мероприятия по управлению рисками также несет Генеральный директор (Правление) организации.
Руководитель подразделения управления рисками обеспечивает:
— разработку и/или апробацию методики оценки и проведение оценки риска;
— определение основных групп рисков в деятельности организации;
— ведение информационной базы по рискам;
— заполнение Матрицы рисков организации;
— подготовку отчетности по СУР;
— выполнение плана мероприятий по управлению рисками;
— разработку предложений по снижению вероятности реализации того или иного вида риска (совместно со структурными подразделениями);
— проведение экспертиз рисков в проектах развития организации;
— контроль организации работы по снижению уровня разных видов рисков;
— проведение проверок соблюдения требований в управлении рисками со стороны подразделений организации, координаторов рисков в филиалах;
— пересмотр на регулярной основе существующих внутренних процессов и процедур, используемых информационно-технологических систем с целью выявления не учтенных ранее источников риска.
Ответственность за своевременное выявление, оценку рисков, разработку и выполнение мероприятий, мониторинг рисков, а также за своевременное и полное обеспечение информацией о рисках всех заинтересованных участников СУР несет руководитель подразделения управления рисками.
Координаторы СУР обеспечивают:
— выявление и оценку рисков соответствующего подразделения;
— исполнение мероприятий в соответствии с Планом мероприятий по СУР;
— своевременную передачу информации о рисках и мероприятиях по управлению ими руководителю подразделения управления рисками;
— фиксацию и передачу информации о реализовавшихся рисках в соответствующем подразделении.
5.4. Принципы финансирования СУР
При обосновании и планировании бюджета при организации (или совершенствовании) СУР необходимо учитывать, что финансирование должно быть направлено как на снижение рисков деятельности (повышение квалификации сотрудников, создание и ведение информационных баз данных; материально-техническое обеспечение и т.д.), так и на уменьшение финансовых последствий при реализации рисков.
Для снижения уровня финансовых последствий для организации, на случай реализации рисков деятельности по ведению реестра, помимо собственных средств, для покрытия возможных убытков могут быть использованы:
— комплексное страхование профессиональной деятельности регистратора (в соответствии с Программой разработки и внедрения системы мер снижения рисков, связанных с профессиональной деятельностью организаций — членов ПАРТАД, утвержденной решением Совета директоров ПАРТАД (протокол N 07/2006 от 19.10.2006));
— участие в компенсационных фондах СРО (по мере принятия соответствующих решений Советом директоров ПАРТАД).
На основании Матрицы рисков деятельности по ведению реестра по формуле 2 рассчитывается K(риск)орг — показатель уровня рисков в организации,
, (2)
где:
— суммарное значение уровней рисков по всем группам (за исключением риска регулирования и правового риска), выявленных в организации;
N — число выявленных рисков (за исключением риска регулирования и правового риска).
Для определения необходимого страхового лимита (таблица 4) показатель уровня рисков в организации сравнивается с минимальным, среднеотраслевым и критическим значениями уровня рисков деятельности по ведению реестра. В соответствии с Матрицей рисков деятельности по ведению реестра (табл. 3), минимальный уровень риска деятельности по ведению реестра (без учета рисков регулирования и правовых рисков) составляет K(риск)min = 0,2, а максимальный — K(риск)max = 4.
Среднеотраслевой уровень риска деятельности по ведению реестра, в соответствии с экспертной оценкой, составляет: K(риск)industry = 1,7.
В том случае, если уровень риска организации превышает 3 балла (например, зафиксирована попытка противоправного действия, а ошибки сотрудников, сбои, повреждения программного обеспечения, риски контрагентов были обнаружены более одного раза за отчетный период), необходимо применять максимальные требования к лимиту ответственности по договору страхования рисков деятельности по ведению реестра.
Таблица 4. Шкала для расчета лимита страхования по договору
страхования деятельности по ведению реестра
┌────────────┬──────────────────────┬─────────────────────┬───────────────┐ │ │0,2 " K(риск)орг " 1,7│1,7 " K(риск)орг " 3 │K(риск)орг " 3 │ ├────────────┼──────────────────────┼─────────────────────┼───────────────┤ │лимит │не менее │не менее │не менее │ │страхования │2 500 000 руб. │5 000 000 руб. │10 000 000 │ │ │ │ │руб. │ └────────────┴──────────────────────┴─────────────────────┴───────────────┘
Лимит страхования может быть скорректирован в зависимости от средней суммы одной сделки, среднего количества передаточных распоряжений за период, степени использования электронного документооборота и т.д.
В случае необходимости выдачи организации ходатайства СРО о снижении норматива достаточности собственных средств путем зачета страхового лимита по договору страхования профессиональной деятельности минимальный размер лимита должен быть увеличен с учетом необходимого для выдачи ходатайства страхового лимита.
6. Отчетность по рискам
6.1. Документы СУР деятельности по ведению реестра
Разработка документов СУР организации должна осуществляется на основе требований Руководства и не противоречить ему. В таблице 5 представлен рекомендуемый перечень документации СУР и ее назначение.
Таблица 5. Перечень документов СУР
┌──────────────────┬──────────────────────────────────────────────────────┐ │ Документ │ Назначение документа │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Основные принципы│Документ определяет цели и задачи управления рисками,│ │организации, │принципы и требования к функционированию системы│ │реализации и│управления рисками, организационную структуру│ │контроля процессов│управления рисками, принципы финансирования системы│ │управления рисками│мер управления рисками; ключевые индикаторы риска. │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Регламент │Документ, регламентирующий сферы деятельности│ │деятельности │подразделения и или должностного лица, включая: │ │подразделения │разработку и/или апробацию методики оценки и│ │и/или должностного│проведение оценки риска; │ │лица по управлению│определение основных групп рисков в деятельности│ │рисками │организации; │ │деятельности по│ведение информационной базы по рискам; │ │ведению реестра │заполнение Матрицы рисков организации; │ │ │подготовку отчетности по системе мер управления│ │ │рисками; │ │ │выполнение плана мероприятий по управлению рисками; │ │ │контроль организации работы по снижению степени│ │ │разных видов рисков; │ │ │проведение проверок соблюдения требований в│ │ │управлении рисками со стороны подразделений│ │ │организации и т.д. │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Методика оценки│Описание подходов и методик проведения процедур│ │уровня рисков│идентификации, оценки рисков, разработки мероприятий│ │деятельности по│по управлению рисками. │ │ведению реестра │ │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Отчетные формы по│Формы предоставления информации о рисках от│ │управлению рисками│подразделений, а также формы отчетности по рискам для│ │ │заинтересованных сторон. │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Годовой план│Содержит наименование мероприятия, целевые│ │мероприятий по│показатели, ответственное лицо и подразделение,│ │системе мер│ответственное за выполнение мероприятия; срок│ │снижения рисков │исполнения и/или периодичность и т.д. (Приложение 3). │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Целевые показатели│Запланированный уровень допустимых значений│ │ограничения рисков│реализации операционных рисков (Приложение 4). │ └──────────────────┴──────────────────────────────────────────────────────┘
Помимо перечисленных в таблице 5 документов, организации следует разработать Регламент по управлению рисками, содержащий описание распределения полномочий, порядка сбора информации, ведения информационной базы, предоставления отчетности, ответственных по проведению процедур в рамках системы управления рисками.
6.2. Протоколы и отчеты
Отчетность СУР должна обеспечивать решение задач управления рисками и предназначена для полноценного и прозрачного обмена информацией о рисках и информирования о них должностных лиц организации.
В таблице 6 представлен рекомендуемый перечень отчетных документов и их назначение.
Таблица 6. Отчетные документы СУР
┌─────────────────┬──────────────┬────────────────────────────────────────┐ │ Отчетный │ Заполняет │ Назначение документа │ │ документ │ │ │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Классификатор │Руководитель │Перечень рисков с ключевой информацией│ │рисков │подразделения │по ним, которые далее могут быть│ │ │управления │конкретизированы посредством│ │ │рисками │детализации информации об объектах,│ │ │ │подверженных данным рискам, субъектах│ │ │ │влияния рисков, сроках, нормативных│ │ │ │актах, проектах, контрагентах и другой│ │ │ │релевантной информацией, дающей полное│ │ │ │понимание рассматриваемой рисковой│ │ │ │области. │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Паспорт риска │Подразделения │Документ, описывающий всю необходимую│ │ │(руководители │информацию по риску (Приложение 2). │ │ │подразделений)│ │ │ │совместно с│ │ │ │Руководителем │ │ │ │подразделения │ │ │ │управления │ │ │ │рисками (при│ │ │ │необходимости)│ │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Матрица рисков │Руководитель │Текстовое описание и оценка│ │ │подразделения │ограниченного числа рисков организации,│ │ │управления │образующее прямоугольную таблицу. │ │ │рисками │ │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Ежеквартальный │Руководитель │Отчет содержит результаты выполнения│ │отчет выполнения│подразделения │мероприятия, достижения целевых│ │Плана │управления │показателей. В случае невыполнения│ │мероприятий СУР │рисками │Плана мероприятий СУР должны быть│ │ │ │даны пояснения о причинах. │ └─────────────────┴──────────────┴────────────────────────────────────────┘
6.3. Оценка эффективности управления рисками и ключевые индикаторы риска деятельности по ведению реестра
Оценка эффективности управления рисками в организации осуществляется на основании:
— анализа динамики изменения оценки рисков;
— анализа целостности и полноты действий по снижению рисков;
— динамики изменения ключевых индикаторов риска;
— анализ затрат на финансирование СУР, фактических убытков от реализации рисков, возможных предотвращенных убытков за счет применения СУР.
КИР представляет собой показатель, характеризующий фактор (источник) риска, при этом, в общем случае, не являясь его оценкой. Примером КИР может служить количество (либо доля в общей массе событий) отказов техники, сбоев программного обеспечения, задержек исполнения операций, судебных исков, негативных публикаций в прессе и т.п. за период.
КИР разрабатываются руководителем службы управления рисков и координаторами СУР и утверждаются Генеральным директором (Правлением). Контроль над корректностью расчета КИР осуществляют подразделения внутреннего контроля и службы управления рисками. Примерный перечень КИР для деятельности по ведению реестра представлен в Приложении 5.
После выбора КИР организации следует провести их тестирование, например, с помощью системы внутренних рейтингов (путем присвоения баллов от 1 до 5). Индикаторы, относящиеся к определенному подразделению, оцениваются сотрудниками именно этого подразделения. Индикаторы, набравшие средний балл менее 4, предлагается исключать из дальнейшего анализа.
В результате проведенного анализа индикаторов для каждого вида риска определяются 1 — 2 КИРа, для которых определяются пороговые значения. Для мониторинга каждого КИР должно быть назначено ответственное лицо (руководитель подразделения или координатор СУР).
Приложение 1
ПРИМЕРНЫЙ КЛАССИФИКАТОР
РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
┌───────────────────┬──────────────────────────────────────────┬──────────┐ │ Группа риска │ Операция │ КИР │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │1. Ошибка и/или│ Ошибка и/или ненадлежащее исполнение│ │ │ненадлежащее │обязанностей персоналом Регистратора при│ │ │исполнение │приеме и проверке документов, являющихся│ │ │обязанностей │основанием для внесения записей в реестр,│ │ │персоналом. │повлекшие одно из следующих событий: │ │ │ │1. отсутствие факта перехода прав│ │ │ │ собственности на ценные бумаги,│ │ │ │ приобретенные либо отчужденные по│ │ │ │ распоряжению зарегистрированного лица│ │ │ │ (его уполномоченного представителя). │ │ │ │2. списание большего количества ценных│ │ │ │ бумаг, чем количество, указанное в│ │ │ │ передаточном распоряжении│ │ │ │ зарегистрированного лица либо ином│ │ │ │ документе, являющимся согласно│ │ │ │ действующему законодательству│ │ │ │ основанием для внесения в реестр записи│ │ │ │ о переходе права собственности на│ │ │ │ ценные бумаги. │ │ │ │3. списание ценных бумаг с лицевого│ │ │ │ счета недееспособного, ограниченно│ │ │ │ дееспособного или несовершеннолетнего│ │ │ │ лица без согласия органов опеки и│ │ │ │ попечительства, законных представителей│ │ │ │ и/или попечителей. │ │ │ │4. зачисление меньшего количества ценных│ │ │ │ бумаг, чем количество, указанное в│ │ │ │ документах, предоставленных│ │ │ │ Регистратору. │ │ │ │5. списание ценных бумаг с лицевого│ │ │ │ счета без волеизъявления│ │ │ │ зарегистрированного лица (его│ │ │ │ уполномоченного представителя) либо│ │ │ │ лиц, имеющих на это право в│ │ │ │ соответствии с действующим│ │ │ │ законодательством. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Ошибка и/или ненадлежащее исполнение│ │ │ │обязанностей персоналом Регистратора при│ │ │ │формировании исходящих документов и│ │ │ │выдаче документов зарегистрированным│ │ │ │лицам │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Непреднамеренные действия (ошибки,│ │ │ │упущения, небрежность) работников│ │ │ │Регистратора, связанные с применением│ │ │ │электронного документооборота при│ │ │ │осуществлении профессиональной│ │ │ │деятельности, включая неисполнение или│ │ │ │ненадлежащее исполнение установленного│ │ │ │порядка доставки/получения электронных│ │ │ │документов в отношении: │ │ │ │ 1. отправки электронного документа, │ │ │ │ 2. проверки электронного документа на│ │ │ │целостность, подлинность и соответствие│ │ │ │Форматам, │ │ │ │ 3. подтверждения получения электронного│ │ │ │документа, │ │ │ │ 4. отзыва электронного документа, │ │ │ │ 5. регистрации исходящих электронных│ │ │ │документов, │ │ │ │ 6. регистрации входящих электронных│ │ │ │документов, │ │ │ │ 7. ведения журналов учета и архива│ │ │ │регистрации исходящих электронных│ │ │ │документов │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │2. Противоправные │Внесение в реестр записи о переходе прав│ │ │действия │собственности на ценные бумаги на│ │ │сотрудников и│основании документов, содержащих│ │ │третьих лиц│поддельные подписи и/или печати и/или│ │ │(включая │умышленно внесенные искаженные сведения │ │ │электронные и├──────────────────────────────────────────┼──────────┤ │компьютерные │Уничтожение или похищение документов,│ │ │преступления). │являющихся основанием для внесения│ │ │ │изменений в реестр │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Электронные и компьютерные преступления. │ │ │ │Умышленные противоправные действия│ │ │ │внешних лиц: │ │ │ │- выразившиеся в несанкционированном│ │ │ │доступе к компьютерной системе│ │ │ │Регистратора с целью уничтожения,│ │ │ │изменения (искажения) электронных данных; │ │ │ │- ввод искаженных данных, модификация│ │ │ │информации в электронно-вычислительной│ │ │ │системе Регистратора или электронной│ │ │ │системе связи Регистратора с третьими│ │ │ │лицами; │ │ │ │- программное воздействие вредоносными│ │ │ │программами (компьютерными вирусами) на│ │ │ │программное обеспечение, компьютерную│ │ │ │технику, сетевое оборудование и/или линии│ │ │ │связи Регистратора, используемые при│ │ │ │осуществлении профессиональной│ │ │ │деятельности; │ │ │ │- повлекшие утерю (уничтожение)│ │ │ │электронных данных реестра, записанных на│ │ │ │носителях, которые являются│ │ │ │собственностью Регистратора; │ │ │ │- в период ранения этих электронных│ │ │ │данных на носители в пределах офисов или│ │ │ │помещений Регистратора; │ │ │ │ - во время записи электронных данных на│ │ │ │носители в пределах офисов или помещений│ │ │ │Регистратора. │ │ │ │ - в результате умышленного│ │ │ │противоправного изменения, уничтожения│ │ │ │или попытки уничтожения/изменения внешним│ │ │ │лицом информации, хранящейся в пределах│ │ │ │компьютерной системы Регистратора. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Электронный документооборот: │ │ │ │- умышленные, противоправные│ │ │ │ мошеннические действия работников│ │ │ │ Регистратора как в одиночку, так и в│ │ │ │ сговоре с внешними лицами с целью│ │ │ │ получения для себя незаконной финансовой│ │ │ │ (материальной) выгоды или причинения│ │ │ │ убытков Регистратору, повлекшие: │ │ │ │ - внесение Регистратором в реестр│ │ │ │ изменений в информацию лицевого счета │ │ │ │ о зарегистрированном лице, записей о│ │ │ │ переходе прав собственности на ценные│ │ │ │ бумаги, операций по поручению│ │ │ │ эмитента, записей о блокировании│ │ │ │ (прекращении блокирования) операций по│ │ │ │ лицевому счету, о залоге (прекращении│ │ │ │ залога) ценных бумаг и внесения в│ │ │ │ реестр изменений, касающихся перехода│ │ │ │ прав на заложенные ценные бумаги,│ │ │ │ записей о зачислении и списании ценных│ │ │ │ бумаг со счета номинального держателя│ │ │ │ на основании электронных документов с│ │ │ │ использованием поддельных│ │ │ │ (изготовленных в мошеннических целях│ │ │ │ дубликатов) или скомпрометированных│ │ │ │ Ключей ЭЦП; │ │ │ │ - совершение действий с целью│ │ │ │ уничтожения, копирования, изменения│ │ │ │ (искажения) данных, содержащихся в│ │ │ │ электронном документе; │ │ │ │- умышленные, противоправные│ │ │ │ мошеннические действия внешних лиц с│ │ │ │ целью получения для себя или иного лица│ │ │ │ незаконной финансовой (материальной)│ │ │ │ выгоды или причинения убытков│ │ │ │ Регистратору, повлекшие: │ │ │ │ - внесение Регистратором в реестр│ │ │ │ изменений в информацию лицевого счета│ │ │ │ о зарегистрированном лице, записей о│ │ │ │ переходе прав собственности на ценные│ │ │ │ бумаги, операций по поручению│ │ │ │ эмитента, записей о блокировании│ │ │ │ (прекращении блокирования) операций по│ │ │ │ лицевому счету, о залоге (прекращении│ │ │ │ залога) ценных бумаг и внесения в│ │ │ │ реестр изменений, касающихся перехода│ │ │ │ прав на заложенные ценные бумаги,│ │ │ │ записей о зачислении и списании ценных│ │ │ │ бумаг со счета номинального держателя│ │ │ │ на основании электронных документов с│ │ │ │ использованием поддельных│ │ │ │ (изготовленных в мошеннических целях│ │ │ │ дубликатов) или скомпрометированных│ │ │ │ Ключей ЭЦП; │ │ │ │ - совершение действий с целью│ │ │ │ уничтожения, копирования, изменения│ │ │ │ (искажения) данных, содержащихся в│ │ │ │ электронном документе. │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │3. Сбои, │Сбои (отказы, нарушения работы,│ │ │повреждения │технические ошибки) вычислительной│ │ │электронного и/или│(компьютерной) техники, программного│ │ │компьютерного │обеспечения, коммуникационных средств│ │ │оборудования, │связи, приведших к полной или частичной│ │ │программного │утрате (повреждению, искажению)│ │ │обеспечения │информации реестра. │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │4. Гибель, │Частичная или полная утрата (гибель,│ │ │повреждение │повреждение) архива Регистратора, в том│ │ │документов и архива│числе документов на бумажном носителе,│ │ │в результате│являющихся основанием для внесения│ │ │затопления, пожара│записей в реестр │ │ │и т.д. │ │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │5. Риски клиентов и│Невнесение Регистратором в реестр│ │ │контрагентов │изменений в информацию лицевого счета о│ │ │ │зарегистрированном лице, записей о│ │ │ │переходе прав собственности на ценные│ │ │ │бумаги, операций по поручению эмитента,│ │ │ │записей о блокировании (прекращении│ │ │ │блокирования) операций по лицевому счету,│ │ │ │о залоге (прекращении залога) ценных│ │ │ │бумаг и внесения в реестр изменений,│ │ │ │касающихся перехода прав на заложенные│ │ │ │ценные бумаги, записей о зачислении и│ │ │ │списании ценных бумаг со счета│ │ │ │номинального держателя. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Списание с лицевого (эмиссионного) счета│ │ │ │в реестре большего (меньшего) количества│ │ │ │ценных бумаг, чем количество ценных│ │ │ │бумаг, указанное в документах,│ │ │ │предоставленных Регистратору. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Зачисление на лицевой (эмиссионный) счет│ │ │ │большего (меньшего) количества ценных│ │ │ │бумаг, чем количество ценных бумаг,│ │ │ │указанное в документах, предоставленных│ │ │ │Регистратору. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Внесение Регистратором в реестр изменений│ │ │ │в информацию лицевого счета о│ │ │ │зарегистрированном лице, записей о│ │ │ │переходе прав собственности на ценные│ │ │ │бумаги, операций по поручению эмитента,│ │ │ │записей о блокировании (прекращении│ │ │ │блокирования) операций по лицевому счету,│ │ │ │о залоге (прекращении залога) ценных│ │ │ │бумаг и внесения в реестр изменений,│ │ │ │касающихся перехода прав на заложенные│ │ │ │ценные бумаги, записей о зачислении и│ │ │ │списании ценных бумаг со счета│ │ │ │номинального держателя без распоряжения│ │ │ │зарегистрированного лица (эмитента) (за│ │ │ │исключением проведения операций в реестре│ │ │ │на основании решения суда или в иных│ │ │ │случаях, предусмотренных действующим│ │ │ │законодательством РФ) при соблюдении│ │ │ │порядка оформления таких операций,│ │ │ │установленного законодательством РФ,│ │ │ │регулирующим профессиональную│ │ │ │деятельность Регистратора. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Невозможность осуществления│ │ │ │предусмотренных законодательством РФ прав│ │ │ │на ценные бумаги, а также прав,│ │ │ │закрепленных ценными бумагами. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Утрата информации, повлекшая│ │ │ │невозможность использования информации│ │ │ │(сведений) о праве на ценные бумаги и│ │ │ │сделки (операции) по ним. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Убытки, причиненные в результате│ │ │ │проведения операций в реестре владельцев│ │ │ │именных ценных бумаг на основании│ │ │ │ненадлежащих (искаженных, умышленно│ │ │ │модифицированных, подписанных│ │ │ │неуполномоченными владельцами│ │ │ │сертификатов ключей, в т.ч. с│ │ │ │использованием поддельных или│ │ │ │скомпрометированных Ключей ЭЦП)│ │ │ │электронных документов либо нарушения│ │ │ │порядка и сроков обмена, обработки и/или│ │ │ │исполнения электронных документов. │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │6. Правовые риски │Убытки по причине того, что законы и/или│ │ │ │нормативно-правовые акты не обеспечивают│ │ │ │необходимой и/или однозначной правовой│ │ │ │базы для осуществления профессиональной│ │ │ │деятельности │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │7. Риски │Взыскания, штрафы в результате│ │ │регулирования │осуществления надзорных мероприятий│ │ │ │государственными органами, судебные иски. │ │ └───────────────────┴──────────────────────────────────────────┴──────────┘
Приложение 2
Паспорт риска
┌────────────┬────────┬────────────┬────────────┬───────────┬────────────┬──────────────────┐ │Наименование│Источник│ Владелец │Фиксирование│Последствия│ Процедуры │ КИР │ │ риска │ риска │риска и/или │ (дата │ риска │реагирования├─────────┬────────┤ │ Описание │ │ лицо, │ обнаружения│ │ │пороговое│зафикси-│ │ риска │ │поставляющее│ и размер │ │ │значение │рованное│ │ │ │информацию о│фактического│ │ │ │значение│ │ │ │ риске │ убытка или │ │ │ │ │ │ │ │ │ возможного │ │ │ │ │ │ │ │ │ убытка) │ │ │ │ │ ├────────────┼────────┼────────────┼────────────┼───────────┼────────────┼─────────┼────────┤ │ 1 │ 2 │ │ 3 │ │ 4 │ 5 │ 6 │ └────────────┴────────┴────────────┴────────────┴───────────┴────────────┴─────────┴────────┘
Приложение 3
Примерный план
мероприятий по системе мер снижения рисков
с 01.01.201_ по 31.12.201_
┌─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┐ │Наименование │Ответственное │Срок ис- │Фактический│Ожидаемый │ Ссылка на │ │ мероприятия │ лицо и │полнения │ срок │результат │ документы, │ │ │подразделение,│и/или │выполнения │ │подтверждающие │ │ │ответственное │периодич-│мероприятий│ │ факт │ │ │за выполнение │ность/ │ │ │ выполнения │ │ │ мероприятия │ │ │ │ мероприятий │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │I-й квартал │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │1. Разработка обязательных документов системы управления рисками │ │деятельности по ведению реестра │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │2. Разработка базы данных по рискам │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │3. Обучение, повышение квалификации персонала │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │4. Совершенствование системы внутреннего контроля │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │5. Совершенствование материально-технической базы │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │6. Страхование деятельности по ведению реестра │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │7. Анализ ключевых показателей риска. Тестирование и выбор КИР, назначение │ │пороговых значений. │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │I-й квартал │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │II-й квартал │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │III-й квартал│ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │IV-й квартал │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ └─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┘
Приложение 4
ПРИМЕРНЫЕ ЦЕЛЕВЫЕ ПОКАЗАТЕЛИ
ПО ОГРАНИЧЕНИЮ РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
┌──────────────────┬────────────┬─────────┬──────────┬──────────┬─────────┐ │ Наименование │Контрольный │I квартал│II квартал│ III │ IV │ │ показателя │показатель │ │ │ квартал │ квартал │ │ │(статисти- │ │ │ │ │ │ │ческие │ │ │ │ │ │ │данные за │ │ │ │ │ │ │предыдущий │ │ │ │ │ │ │период), шт.│ │ │ │ │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 1. Ошибка и/или│ 10 │ 5 │ 4 │ 3 │ 0 │ │ненадлежащее │ │ │ │ │ │ │исполнение │ │ │ │ │ │ │обязанностей │ │ │ │ │ │ │персоналом │ │ │ │ │ │ │Регистратора │ │ │ │ │ │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 2. Резервное │ 10 │ 20 │ 30 │ 40 │ 50 │ │копирование │ │ │ │ │ │ │информации │ │ │ │ │ │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 3. Жалобы │ │ │ │ │ │ │клиентов │ 10 │ 5 │ 2 │ 1 │ 0 │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 4. Сбои (отказы,│ 2 │ 0 │ 0 │ 0 │ 0 │ │нарушения работы,│ │ │ │ │ │ │технические │ │ │ │ │ │ │ошибки) │ │ │ │ │ │ │вычислительной │ │ │ │ │ │ │(компьютерной) │ │ │ │ │ │ │техники, │ │ │ │ │ │ │программного │ │ │ │ │ │ │обеспечения, │ │ │ │ │ │ │коммуникационных │ │ │ │ │ │ │средств связи,│ │ │ │ │ │ │приведших к│ │ │ │ │ │ │полной или│ │ │ │ │ │ │частичной утрате│ │ │ │ │ │ │(повреждению, │ │ │ │ │ │ │искажению) │ │ │ │ │ │ │информации │ │ │ │ │ │ │реестра │ │ │ │ │ │ └──────────────────┴────────────┴─────────┴──────────┴──────────┴─────────┘
Приложение 5
Примерный перечень
ключевых индикаторов риска деятельности по ведению реестра
┌────┬──────────────────────────────────────────┬──────────┬──────────────┐ │ N │ Наименование индикатора │Пороговое │Ответственное │ │ │ │ значение │ лицо │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1. │IT системы │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.1 │процент операций, требующих ручного ввода│ │ │ │ │(за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.2 │процент операций, осуществляемых с│ │ │ │ │помощью ЭДО │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.3 │количество сбоев программного обеспечения│ │ │ │ │(за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.4 │процент неправильно переданных данных (за│ │ │ │ │период): │ │ │ │ │ - филиалам │ │ │ │ │ - трансфер-агентам │ │ │ │ │ - номинальным держателям │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.5 │число случаев, связанных с потерей│ │ │ │ │персональных данных (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.6 │число случаев, связанных с потерей│ │ │ │ │учетных данных (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.7 │среднее время реакции на технический сбой│ │ │ │ │в системе ведения реестра в операционной│ │ │ │ │системе │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.8 │среднее время проведения одной операции│ │ │ │ │(по видам операций) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.9 │число случаев, связанных с нарушением│ │ │ │ │энергоснабжения (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.10│частота обновления программного│ │ │ │ │обеспечения (антивирусного и т.д.) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.11│оценка напряженности трафика IT-системы │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.12│периодичность дублирования информации (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.13│уровень (%) дублирования систем (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.14│время неработоспособности IT-системы (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2. │Показатели деятельности по ведению│ │ │ │ │реестра │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.1 │среднее количество зарегистрированных│ │ │ │ │лиц, обслуживаемых одним сотрудников (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.2 │среднее количество (объем) операций,│ │ │ │ │проводимых одним сотрудником (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.3 │процент аттестованных сотрудников, от│ │ │ │ │общего числа сотрудников, занятых в│ │ │ │ │основном виде деятельности │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.4 │сумм страхового покрытия в расчете на│ │ │ │ │одного обслуживаемого владельца │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.5 │количество административных штрафов,│ │ │ │ │предписаний со стороны регулирующего│ │ │ │ │органа (за 1 - 3 года) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.6 │размер заявленных убытков (за 1 - 3│ │ │ │ │года) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.7 │отношение выплаты по заявленным убыткам к│ │ │ │ │размеру заявленных убытков (за 1 - 3│ │ │ │ │года) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.8 │число обращений (с жалобами, за│ │ │ │ │консультацией) клиентов (эмитентов,│ │ │ │ │зарегистрированных лиц, номинальных│ │ │ │ │держателей) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.9 │среднее время "дозвона" клиентов │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.10│среднее время рассмотрения обращения│ │ │ │ │клиента │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.11│количество ошибок сотрудников, включая│ │ │ │ │неисполнение или ненадлежащее исполнение│ │ │ │ │ими своих служебных обязанностей │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.12│соотношение выявленных умышленных│ │ │ │ │противоправных (мошеннические) действий│ │ │ │ │сотрудников, включая совершение действий с│ │ │ │ │использованием поддельных документов, а│ │ │ │ │также несанкционированный доступ к│ │ │ │ │компьютерным сетям страхователя с целью│ │ │ │ │уничтожения, изменения (искажения)│ │ │ │ │электронных данных к свершенным │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.13│соотношение умышленных противоправных│ │ │ │ │действий внешних лиц, включая совершение│ │ │ │ │действий с использованием поддельных│ │ │ │ │документов, а также несанкционированный│ │ │ │ │доступ к компьютерным сетям страхователя│ │ │ │ │с целью уничтожения, изменения│ │ │ │ │(искажения) электронных данных к│ │ │ │ │свершенным │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.14│количество ошибок сотрудников, связанных│ │ │ │ │с осуществлением электронного│ │ │ │ │документооборота (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.15│соотношение выявленных умышленных│ │ │ │ │противоправных (мошеннические) действий│ │ │ │ │сотрудников, включая совершение действий│ │ │ │ │с использованием поддельных│ │ │ │ │(изготовленных в мошеннических целях│ │ │ │ │дубликатов) или скомпрометированных│ │ │ │ │Ключей ЭЦП, а также действий с целью│ │ │ │ │уничтожения, копирования, изменения│ │ │ │ │(искажения) данных, содержащихся в│ │ │ │ │Электронном документе к свершенным (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.16│соотношение умышленных противоправных│ │ │ │ │действий внешних лиц (включая других│ │ │ │ │участников СЭД), включая совершение│ │ │ │ │действий с использованием поддельных│ │ │ │ │(изготовленных в мошеннических целях│ │ │ │ │дубликатов) или скомпрометированных│ │ │ │ │Ключей ЭЦП, а также действий с целью│ │ │ │ │уничтожения, копирования, изменения│ │ │ │ │(искажения) данных, содержащихся в│ │ │ │ │Электронном документе к свершенным (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.17│количество сбоев (отказов, нарушения в│ │ │ │ │работе) средств криптографической защиты│ │ │ │ │информации (СКЗИ) и иного аппаратно-│ │ │ │ │программного обеспечения, используемого│ │ │ │ │при осуществлении электронного│ │ │ │ │документооборота (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.18│Число дней в году обеспечения│ │ │ │ │непрерывности: │ │ │ │ │- внутреннего контроля; │ │ │ │ │- ПОД/ФТ; │ │ │ │ │- противодействия инсайду │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3 │Внутренний контроль │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3.1 │среднее количество операций,│ │ │ │ │контролируемых одним сотрудником │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3.2 │соотношение количества нарушений,│ │ │ │ │выявленных службой внутреннего контроля к│ │ │ │ │количеству нарушений, выявленных в ходе│ │ │ │ │проверки │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3.4 │процент сотрудников, осуществляющих│ │ │ │ │внутренний контроль, к общему числу│ │ │ │ │сотрудников, занятых в основной│ │ │ │ │деятельности │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │4. │Риски регулирования │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │ │Количество плановых проверок за период: │ │ │ │ │ФСФР; │ │ │ │ │Росфинмониторинг; │ │ │ │ │Роскомнадзор; │ │ │ │ │Др. │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5. │Персонал │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.1 │процент "сменяемости" сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.2 │соотношение числа уволившихся│ │ │ │ │сотрудников к общему числу сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.3 │процент дублирования функций сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.4 │процент сотрудников, аттестованных по│ │ │ │ │внутреннему контролю │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.5 │процент сотрудников, аттестованных по│ │ │ │ │ПОД/ФТ │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.6 │процент сотрудников, прошедших обучение по│ │ │ │ │инсайду │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.7 │процент рабочих дней, пропущенных│ │ │ │ │персоналом по уважительной причине │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.8 │процент рабочих дней, пропущенных│ │ │ │ │персоналом по причине болезни │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.9 │количество дисциплинарных взысканий,│ │ │ │ │примененных к сотрудникам │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.10│количество рацпредложений, поступивших от│ │ │ │ │сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.11│количество денежных средств, потраченных│ │ │ │ │организацией на безопасность и здоровье│ │ │ │ │сотрудников в расчете на одного│ │ │ │ │сотрудника │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.12│количество денежных средств, потраченных│ │ │ │ │организацией на обучение сотрудников в│ │ │ │ │расчете на одного сотрудника │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6. │Внешние риски │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.1 │число стихийных бедствий, нанесших ущерб│ │ │ │ │организации (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.2 │число пожаров (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.3 │число смены местоположения организации│ │ │ │ │(за период) │ │ │ └────┴──────────────────────────────────────────┴──────────┴──────────────┘
Приложение 6
ПРИМЕР
ЗАПОЛНЕНИЯ МАТРИЦЫ РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
┌──────────────────────────┬─────┬───────────────┬────────────┬───────────┐ │ Группа риска/количество │ ГРi │ Отсутствует │Однократное │ Выявлено │ │ выявленных событий по │ │ │ выявление │ более │ │ группам рисков │ │ │ │ одного │ │ │ │ │ │ события │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │ B │ │ 0,1 │ 1 │ 2 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │1. Противоправные│ 3 │ 0,3 │ │ │ │действия сотрудников и│ │ │ │ │ │третьих лиц (включая│ │ │ │ │ │электронные и│ │ │ │ │ │компьютерные │ │ │ │ │ │преступления). │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │2. Риски регулирования │ 3 │ │ 3 │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │3. Ошибка и/или│ 2 │ │ │ 4 │ │ненадлежащее исполнение│ │ │ │ │ │обязанностей персоналом │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │4. Сбои, повреждения│ 2 │ │ 2 │ │ │электронного и/или│ │ │ │ │ │компьютерного │ │ │ │ │ │оборудования, │ │ │ │ │ │программного обеспечения │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │5. Риски клиентов и│ 2 │ │ 2 │ │ │контрагентов │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │6. Правовые риски │ 2 │ │ 2 │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │7. Гибель, повреждение│ 1 │ 0,1 │ │ │ │документов и архива в│ │ │ │ │ │результате затопления,│ │ │ │ │ │пожара и т.д. │ │ │ │ │ └──────────────────────────┴─────┴───────────────┴────────────┴───────────┘
!!! Полезный материал! Сборник статей по целевому управлению. Скачать >
Причиной возникновения рисков являются неопределенности, существующие в каждом проекте. Риски могут быть “известные” — те, которые определены, оценены, для которых возможно планирование. Риски “неизвестные” — те, которые не идентифицированы и не могут быть спрогнозированы. Хотя специфические риски и условия их возникновения не определены, менеджеры проекта знают, исходя из прошлого опыта, что большую часть рисков можно предвидеть.
Реализуя проекты, имеющие высокую степень неопределенности в таких элементах, как цели и технологии их достижения многие компании уделяют внимание разработке и применению корпоративных методов управления рисками. Данные методы учитывают как специфику проектов, так и корпоративных методов управления.
Американский Институт управления проектами (PMI), разрабатывающий и публикующий стандарты в области управления проектами, значительно переработал разделы, регламентирующие процедуры управления рисками. В новой версии PMBOK (принятие которого ожидается в 2000 году) описаны шесть процедур управления рисками. В данной статье мы предлагаем краткий обзор процедур управления рисками (без комментариев).
Управление рисками — это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.
Процесс управления рисками проекта обычно включает выполнение следующих процедур:
- Планирование управления рисками — выбор подходов и планирование деятельности по управлению рисками проекта.
- Идентификация рисков — определение рисков, способных повлиять на проект, и документирование их характеристик.
- Качественная оценка рисков — качественный анализ рисков и условий их возникновения с целью определения их влияния на успех проекта.
- Количественная оценка — количественный анализ вероятности возникновения и влияния последствий рисков на проект.
- Планирование реагирования на риски — определение процедур и методов по ослаблению отрицательных последствий рисковых событий и использованию возможных преимуществ.
- Мониторинг и контроль рисков — мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков.
Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте. Несмотря на то, что процедуры, представленные здесь, рассматриваются как дискретные элементы с четко определенными характеристиками, на практике они могут частично совпадать и взаимодействовать.
Планирование управления рисками
Планирование управления рисками — процесс принятия решений по применению и планированию управления рисками для конкретного проекта. Этот процесс может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации риска, временной интервал для анализа ситуации. Важно спланировать управление рисками, адекватное как уровню и типу риска, так и важности проекта для организации.
Идентификация рисков
Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.
Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.
Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.
Качественная оценка рисков
Качественная оценка рисков — процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков.
Качественная оценка рисков это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.
!!! Полезный материал! Сборник статей по целевому управлению. Скачать >
Количественная оценка рисков
Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей.
Количественная оценка рисков позволяет определять:
- вероятность достижения конечной цели проекта;
- степень воздействия риска на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться;
- риски, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на проект;
- фактические затраты, предполагаемые сроки окончания.
Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и количественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.
Планирование реагирования на риски
Планирование реагирования на риски — это разработка методов и технологий снижения отрицательного воздействия рисков на проект.
Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.
Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.
Мониторинг и контроль
Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.
Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновения рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.
Целью мониторинга и контроля является выяснить, было ли:
- Система реагирования на риски внедрена в соответствии с планом.
- Реагирование достаточно эффективно или необходимы изменения.
- Риски изменились по сравнению с предыдущим значением.
- Наступление влияния рисков.
- Необходимые меры приняты.
- Воздействие рисков оказалось запланированным или явилось случайным результатом.
Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно.
!!! Полезный материал! Сборник статей по целевому управлению. Скачать >
Дмитрий Могилко
Бизнес-архитектор
Эксперт-консультант ВЭШ СПГЭУ
Асессор по модели EFQM
Партнёр ГК «Современные технологии управления» (г. Санкт-Петербург)
Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.
Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.
Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).
Рис. 1. Структура основных понятий риск-менеджмента
Представленная модель построена на основе следующей логики.
- Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
- внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
- внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
- Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
- Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
- Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:- природный;
- биосоциальный;
- техногенный;
- экологический;
- профессиональный;
- информационный;
- экономический;
- террористический;
- кибернетический;
- иной [6].
- Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
- идентификатор;
- наименование и описание, в том числе:
○ источник опасного события;
○ объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
○ последствия опасного события [3]; - этап жизненного цикла продукции (услуги) при возникновении опасного события;
- возможные последствия;
- необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].
В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:
- идентифицированные опасные события (инциденты — центральные узлы диаграммы);
- источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
- установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).
Рис. 2. Диаграмма «галстук-бабочка»
-
Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.
Таблица 1. Реестр риска (упрощенная форма)
Идентификатор опасного события Наименование и описание опасного события Ответственный менеджер по риску Последствия опасного события (I) Вероятность опасного события (L) Оценка риска (I × L) Мероприятия по обработке риска Срок выполнения мероприятий по обработке риска Примечания План Факт - Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
- источники данных;
- средства контроля;
- методы анализа;
- последствия реализации опасного события;
- вероятность наступления опасного события;
- оценка уровня риска [6].
Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:
- шкала последствий (табл. 2);
- шкала вероятности (табл. 3).
Таблица 2. Шкала оценивания последствий опасного события
Последствие (I),
баллыОписание
последствийОбъекты воздействия опасного события 5 Катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура 4 Значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда 3 Умеренные последствия Люди, экономика, инфраструктура 2 Небольшие последствия Экономика, инфраструктура 1 Малозначительные последствия Социальная среда Примечание: объекты воздействия опасного события приведены для примера.
Таблица 3. Шкала оценивания вероятности наступления опасного события
Оценка вероятности,
%Качественная оценка вероятности, баллы Очень высокая — 81–100 Очень высокая — 5 Высокая — 61–80 Высокая — 4 Средняя — 21–60 Средняя — 3 Низкая — 1–20 Низкая — 2 Очень низкая — менее 1 Очень низкая — 1 Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).
Таблица 4. Матрица риска, ранги
Качественная оценка вероятности опасного события Последствия Малозначительные (1) Небольшие (2) Умеренные (3) Значительные (4) Катастрофические (5) Очень низкая (1) 1 2 3 4 5 Низкая (2) 2 4 6 8 10 Средняя (3) 3 6 9 12 15 Высокая (4) 4 8 12 16 20 Очень высокая (5) 5 10 15 20 25 -
Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:
- определение критериев приемлемости риска;
- сопоставление оценки риска с критериями приемлемости;
- заключение о приемлемости риска и необходимости его обработки [6].
По результатам анализа определяется уровень риска в следующих интервалах:
- ранг 0 — риск отсутствует, никакие действия не предпринимаются;
- 0–4 — риск низкий, предпринимаются низкозатратные действия;
- 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
- 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
- 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].
-
После оценки риска наступает этап его обработки / модификации посредством:
- избежания, т. е. отказа от деятельности;
- принятия;
- устранения источника риска;
- изменения его вероятности;
- изменения его последствий;
- разделения риска с другой стороной [2].
Обработка риска включает следующие этапы:
- определение целей обработки риска;
- определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
- разработка и осуществление плана обработки риска [3].
-
Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:
- измеряться в процентах, представлять собой число (номер) или соотношение;
- определяться сопоставимыми значениями за определенный промежуток времени;
- иметь базовые значения;
- иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].
Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.
Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:
- соблюдать принципы менеджмента риска;
- нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
- формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].
Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:
- знание политики, стратегии и целей организации в области менеджмента риска;
- понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
- знание процессов и специфики работы организации;
- знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
- знание и правильное использование терминов менеджмента риска;
- знание карты этого процесса;
- знания в области применения реестра риска.
Основные требования к навыкам менеджеров по риску включают способности:
- Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
- Применять критерии допустимого риска организации.
- Задействовать методы оценки риска.
- Использовать методы разработки и ведения реестра риска.
- Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
- Использовать методы анализа менеджмента риска и управления документацией в этой области.
- Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
- Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
- перечень опасных событий, связанный с ними риск и способы обработки;
- оценку эффективности мер по обработке ключевых видов рисков;
- произошедшие изменения за отчетный период;
- необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
- предполагаемую причину неэффективности мероприятий по обработке риска;
- необходимые действия для выполнения мероприятий по обработке риска;
- меры повышения эффективности риск-менеджмента [6].
- Обеспечивать понимание риска персоналом организации.
- Согласовывать процесс риск-менеджмента с общей системой процессов организации.
- Внедрять решения, принятые по результатам оценки риска.
- Поддерживать и постоянно улучшать систему риск-менеджмента.
Оценка риска осуществляется группой, включающей следующие роли:
- владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
- руководитель группы — управляет выполнением оценки риска;
- эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
- помощник — оказывает помощь при оценке риска, организует совещания по ней;
- участник — активно участвует в процессе оценки риска [3].
Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:
- цель: постоянное определение, анализ, обработка и мониторинг рисков;
- выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
- виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.
В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).
Рис. 3. IDEF0-модель процесса менеджмента риска
Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.
Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.
| № | Параметр | Требования и рекомендации |
|---|---|---|
| 1 |
Код регистрации (в реестре) и название риска (опасного события) |
Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5]. |
| 2 |
Тип риска (внешний или внутренний) |
При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3]. |
| 3 |
Вид риска (экономический, технический, социальный, экологический) |
Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5]. |
| 4 |
Владелец риска (ответственный за менеджмент риска) |
|
| 5 |
Риск-менеджеры (эксперты по оценке риска) |
|
| 6 |
Область или объект воздействия риска (организация, среда, персонал, продукт, процесс) |
При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:
|
| 7 |
Заинтересованные (причастные) стороны, подверженные риску |
|
| 8 |
Источник и условия возникновения риска (опасного события) |
Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7]. |
| 9 |
Уровень (балл) последствий воздействия риска (опасного события) |
|
| 10 |
Уровень (балл) вероятности возникновения опасного события |
После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3]. |
| 11 |
Оценка уровня (ранга) риска |
Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6]. |
| 12 |
Решение о необходимости обработки риска |
|
| 13 |
Мероприятия по обработке риска (снижению вероятности и/или последствий) |
Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:
|
| 14 |
Ответственный за обработку риска |
Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:
|
| 15 |
Срок выполнения мероприятий по обработке риска |
Этапы обработки риска включают в себя:
|
| 16 |
Индикаторы мониторинга риска |
|
| 17 |
Сведения о результативности и эффективности обработки риска (оценка и опыт) |
|
| 18 |
Направления улучшения инфраструктуры риск-менеджмента |
|
| 19 |
Периодичность актуализации оценки риска (реестра риска) |
|
| 20 |
Дата актуализации сведений о риске (в реестре) |
— |
Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:
- названия параметров риска указываются в поле «Раздел» атрибутов документа;
- содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;
- требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).
Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio
Рис. 5. Карточка раздела документа
Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.
Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).
Рис. 6. Шаблон пользовательского отчета «Паспорт риска»
В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).
Рис. 7. Отчет «Паспорт риска»
Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.
- Лист «Матрица рисков» (рис. 8):
- средневзвешенный уровень рисков организации (например, 10,25);
- матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
- список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.
- Лист «Риски» (рис. 9):
- ранг уровня риска (например, 12);
- сведения (содержание) о параметрах риска;
- параметры риска (ссылки).
- Лист «Требования» (рис. 10):
- наименование раздела (нормативно-справочного) документа;
- требования и рекомендации стандартов для параметра риска.
Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу
Рис. 9. Лист «Риски» Excel-отчета по мониторингу
Рис. 10. Лист «Требования» Excel-отчета по мониторингу
Для удобства навигации отчет содержит необходимые автоматические ссылки.
ВЫВОДЫ
Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.
Источники информации:
- ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
- ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
- ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
- Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
- ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
- ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
- Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
- ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
- Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
- ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
- Создание пользовательских отчетов.
Опубликовано по материалам:
«Менеджмент качества», 03/2019.
Октябрь 2019 г.
Рекомендуемые материалы по тематике
Превращение в гиганта: практика организационного развития ГК «Гулливер»
Процессный подход станет нашим рабочим инструментом — интервью с Денисом Клименко в проекте «Управление из первых рук»
BPM как способ узнать глубину кроличьей норы
Глоссарий
Этапы управления рисками
Чтобы грамотно управлять угрозами для бизнеса, мы решили использовать метод фреймворка PMBoK от PMI. Разработчики предлагают поделить процесс управления на 6 этапов:
- Планирование управления
- Идентификация факторов
- Качественная оценка
- Количественная оценка
- Планирование реакции
- Мониторинг и контроль
Такая методология предполагает активный подход в работе с источниками проектных угроз. Пассивное реагирование на последствия допустимо при появлении непредвиденных факторов. Но пассивная реакция на угрозы, которые можно предугадать недопустима — можем сильно увеличить смету, сорвать сроки или потрелять заказчика. В современных бизнес-реалиях пассивная реакция равноценна осознанному убийству проекта.
Такую схему из 6 этапов предлагает PMBoK.
Планирование управления
На этапе планирования выбираем стратегии организации процесса управления и правила взаимодействия участников и заинтересованных сторон. Мы сможем уточнить выбранные методы, инструменты и уровень организации управления.
Вот такую проектную схему предлагают разработчики PMBoK.
Диаграмма потоков данных планирования управления рисками в PMBoK.
3 главных аспекта правильного планирования:
- формирование благоприятной среды управления — гармонизация отношений внутри команды
- использование заранее заготовленных схем и шаблонов процессов управления
- создание описательной части и плана управления угрозами
Основной процессный инструмент — совещание. В нем принимают участники все члены команды, а иногда и инвесторы, когда речь идет про угрозы для инвестиционного проекта. Результат их работы — создание плана управления. Это полноценный регламент, которым команда руководствуется при противодействии угрозам.
Обычно в плане управления указывают:
- методы и инструменты управления
- роли участников при возникновении рисковых ситуация
- допустимые значения и диапазоны угроз
- принципы и правила внесения изменений в работу
- форматы отчетности и документации по проектным угрозам
- способы мониторинга и ответственные
Идентификация
На этом этапе выявляют и документируют проектные угрозы. Результат — перечень возможных проблем с ранжированием по степени опасности. Сначала команда выявляет рисковые факторы, затем проводит исследования и идентифицирует угрозы. Нужно понимать, что не все угрозы можно идентифицировать на старте. Обычно по мере развития проекта количество возможных рисковых событий увеличивается.
Чтобы увеличить вероятность идентификации, есть смысл использовать грамотную классификацию рисковых событий. Например, мы в Oko используем классификацию по степени по степени контролируемости.
Классификация рисковых событий по степени их контролируемости.
Использование этой классификации помогает определить, под какие неконтролируемые угрозы стоит планировать резервы. Нужно учитывать и то, что контролируемость рисковых событий еще не гарантирует успеха в их управлении. Также отмечу, что не всегда удается четко классифицировать угрозы, поэтому есть смысл использовать и другие способы классификации. Например, по источникам.
Пример классификации рисковых событий в зависимости от их источника.
При формулировании угрозы важно использовать двух составные понятия: с указанием на источник события и саму угрозу. Например, «угроза срыва сроков реализации из-за отсутствия определенности с функционалом» или «риск отсутствия финансирования из-за нестабильной ситуации с бюджетом у компании-заказчика». Результат — создание реестра возможных рисковых ситуаций.
Фрагмент реестра рисковых ситуаций.
Анализ и оценка рисков проекта
Здесь мы совмещаем качественную и количественную оценку.
Качественный анализ — оценка экспертных мнений и взглядов на возможные неблагоприятные последствия, обусловленные выявленными факторами. Качественный анализ более поверхностный, но часто его достаточно. Он позволяет получит на выходе:
- перечень рисковых событий, сгруппированный по приоритету
- перечень событий, которые нужно дополнительно проанализировать
- комплексную оценку угрозы для команды в целом
При анализе экспертные оценки делят на две категории: оценки вероятности н
аступления рисковых событий и оценки их влияния. Для их корректного анализа создают специальную матрицу с оценками. Например, вот такую матрицу предлагают разработчики PMBoK.
Матрица вероятности/воздействия угроз и благоприятных возможностей из PMBoK.
На основе этой матрицы можем получить три пороговых уровня: незначительные, средние и недопустимые угрозы. Оценка — это приоритет риска. В зависимости от того, в какую из категорий попадает рисковое событие, а также в зависимости от оценки, которую получает угроза, разрабатываются конкретные мероприятия по купированию и предотвращению последствий.
Чтобы оценить степень угрозы у себя в компании, мы придумали такую матрицу, в которой эта степень зависит от вероятности реализации риска и его влияния на показатели работы. Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень угрозы — бороться с ней нужно активнее.
Чем выше вероятность реализации и существенней влияние на проектов, тем выше степень рисковой угрозы.
Количественный анализ рисков проекта направлен на получение конкретных оценок вероятности наступления рискового события. Количественный анализ значительно более трудоемкий, но и более точный. Он требует качества входных данных, использования развитых математических моделей и более высокой компетентности от персонала. Поэтому его используют только для сложных проектов.
Количественная оценка помогает проанализировать:
- вероятность достижения конечной цели
- степень воздействия угроз на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться
- события, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на результат
- фактические расходы, предполагаемые сроки окончания
Обычно для количественного анализа используют такие методологии:
Вероятностный анализ — оценка на основе статистики по прошлым проекта с учетом вероятностной погрешности.
Анализ чувствительности — оценка влияния основных параметров финансовой модели на результирующий показатель в целях выявления наиболее существенных переменных для проекта.
Имитационное моделирование — оценка, сделанная на основе многократных опытов с моделью.
Чтобы не усложнять себе жизнь, для количественного анализа лучше использовать специальный софт. Иначе от огромного массива данных и случайных чисел будет боль голова.
Планирование реакции
Когда вы определили угрозы, выяснили, на что они влияют и дали им оценку, нужно продумать реакцию, которая поможет минимизировать последствия от угрозы. Обычно на этом этапе придумывают меры, которые с высокой вероятностью помогут добиться успеха по проекту, несмотря даже на неопределенные рисковые события.
В своей практике мы выработали 4 варианта реакций, которые помогают нам ликвидировать или хотя бы минимизировать последствия от возможных проблем. Вот какие стратегии можно использовать.
1. Уклонение. Корректируем план управления таким образом, чтобы исключить возможность наступления негативных событий или снизить последствия от их наступления. Например, пересмотреть график или изменить объем работы путем удаления некритичных модификаций.
2. Передача. Перекладываем ответственность за негатив на третью сторону. Например, заключаем договор страхования, берем предоплату, предусматриваем в договоре с заказчиком неустойку. Иногда на это потребуются дополнительные деньги.
3. Снижение. Формируем предупредительные меры по снижению вероятности наступления негативных событий или последствий их наступления. Например, при формировании команды включаем в нее возможных дублеров — на случай, если разработчик заболеет, а дизайнер-фрилансер решит пропасть на неделю без предупреждения.
4. Использование. Превращаем негатив в позитив. Пример риска проекта: квалификация тестировщика вызывает у руководителя группы вопросы, есть вероятность срыва сроков и снижения качества продукта. Думаем, что делать — в качестве дублера привлекаем более опытного тестировщика. Мы увеличим бюджет, но сократим сроки на выполнение важных для нас процессов с гарантией их качества.
На основании выбранного варианта реагирования предпринимаются дальнейшие действия. Например, в PMBoK рекомендуют вносить изменения в документацию или план проекта.
Диаграмма потоков данных планирования реакции на угрозы из PMBoK.
Мониторинг и управление
Последний этап — системная работа над выявлением новых угроз, их контроль и реакция в соответствии с планом управления. Обычно эту работу ведут на всех этапах реализации продукта, вплоть до подписания акта приема-передачи. Чем ближе конец работы, тем сильнее последствия может вызвать угроза.
Важно отслеживать состояние как выявленных, так и потенциально новых рисковых событий. Дополнительно отслеживают динамику изменений, отклонений, трендов и состояние резервов, которые используют для нивелирования угроз.
Важный момент: проектный менеджер не может быть владельцем всех угроз и отвечать за всех одновременно. Поэтому есть смысл назначить ответственного по каждому риску отдельно.
В процессе мониторинга и контроля обычно выбирают и тестируют альтернативные стратегии, корректируют план для внедрения новых тактик. Все изменения и дополнения вносятся в новый план, ответственные регулярно готовят отчет, проводят совещания и обсуждают угрозы с коллегами.