Правовые риски

  • автор:

Определение риска

Определений рисков огромное множество и все они, в принципе, общеизвестны и интуитивно понятны. Приведу тут лишь несколько запомнившихся мне цитат.

Также следует понимать основное отличие понятия риска от понятия проблемы:

  • риск это некоторое событие, которое может случиться в будущем и может привести к определенным потерям (снижение качества продукта, перерасходование бюджета, задержка сроков либо полной неудачи проекта)
  • проблема же – это событие, которое уже случилось. Риски превращаются в проблемы, если с ними не работать

Некоторые термины и определения

  • Риск – некоторое событие или условие, которое может позитивно либо негативно повлиять на результат проекта (план, качество, стоимость, объем реализованной функциональности)
  • Вероятность риска (Likelihood) – вероятность того, что риск сработает. Является одним из атрибутов риска и может измеряться целыми числами от 1 до 4 (где 1 – очень низкая вероятность, 4 – высокая вероятность)
  • Влияние риска (Impact) – обозначает величину позитивных или негативных последствий для проекта, если риск срабатывает. Является одним из атрибутов риска и может измеряться целыми числами от 1 до 4 (где 1 –малое влияние, 4 – блокирующее влияние). Может также носить название «потери»
  • Величина риска (Risk Exposure) – произведение вероятности на влияние риска (Risk Exposure = Likelihood x Impact)
  • Mitigate (к сожалению, не смог адекватно перевести) – разрабатывать стратегии и план действия для снижения вероятности и/или влияния риска до какого-либо приемлемого уровня (к примеру, можно использовать матрицу величины риска, речь о которой пойдет позже)
  • Mitigation strategy – план действий, направленный на снижение вероятности и/или влияния риска до какого-либо приемлемого уровня (план митигации рисков)
  • Contingency – подход, направленный на минимизацию влияния риска после того, как он сработал
  • Contingency plan – план, направленный на снижения влияния риска (последствий риска) после того, как риск сработал

Следует различать понятия Mitigation и Contingency – первый относится к рискам, второй – к проблемам. Реализовывать mitigation plan – снижать или вероятность или влияние риска когда/если он наступит; реализовывать contingency plan – снижать последствия уже наступившего риска.

Для одного и того же риска могут разрабатываться оба плана, но в большинстве случаев – только один (тут уже надо решить что важнее – не допустить срабатывания риска, или же минимизировать потери при его срабатывании). Также при разработке mitigation plan часто руководствуются либо только стратегией снижения влияния или только стратегией снижения вероятности риска (что позволяет экономить – зачем направлять усилия на снижение влияния риска, если одновременно снижается и его вероятность).

Процесс управления рисками

Ниже перечислены шаги, которые я обычно выделяю в процессе управления рисками.

  • идентификация рисков
  • анализ рисков
  • планирование рисков
  • разрешение рисков
  • отслеживание и модификация данных по рискам (параметров и/или планов и стратегий)

С чего начать?

С чего начинается процесс управления рисками на проекте? Согласно теории – с идентификации риска(ов). Необходимо составить список рисков, которые бы наиболее полно отражали картину рисков и потенциальных проблем на проекте. Следует помнить, однако, что даже самый большой список никогда не будет полным – что-то всегда будет упущено. 😉

Анализ

Результатом этого этапа является качественная и количественная оценка риска, которая может проводиться по следующим направлениям:

  • оценка риска – определение значений атрибутов Вероятность риска (Likelihood) и Влияние риска (Impact)
  • классификация риска – группировка рисков, основанная на каких-либо характеристиках (например, по типу рисков их можно разделить на «Quality», «Management», «Hardware», «Software» и тд)
  • приоритизация риска – расставление приоритетов. Практически приоритизация делается на основе матрицы величины риска, о которой я говорил выше

При таком определении величина риска является простейшим способом определить количественную характеристику риска. Практически имеет смысл отслеживать и управлять рисками, которые находятся на главной диагонали данной матрицы или выше ее (то есть со значениями величины риска большими или равными 4 или 6).

После анализа риска мы можем составить топ10 рисков (Top 10 Risk List), выстроив риски по убыванию значения величины риска и выбрав первые десять. Следует помнить, что выбор большего числа рисков может превратить управление рисками в очень тяжелый процесс, который будет слишком дорог и неэффективен.

Планирование

Основной задачей планирования является ответ на вопрос, как мы будем обрабатывать каждый из рисков. Тут возможны следующие варианты:

  • исследование риска (research) – проведение дальнейшего исследования риска для его детализации и более аккуратного планирования
  • принятие риска (accept) – мы принимаем риск и готовы жить с его последствиями
  • избежание риска (avoid) – мы предполагаем, что риск никогда не станет реальностью
  • передача риска (transfer) – передача риска и ответственности за него в другую команду, другому менеджеру (возможно и руководству компании), другому лицу

Непосредственно для управления рисками должны быть разработаны mitigation strategy (действия, которые мы предпринимаем для снижения вероятности и/или влияния риска до какого-либо приемлемого уровня, если мы выбрали эту стратегию) и contigency plan (план действий на случай, если риск сработал).

Разрешение рисков

На данном этапе фактически происходит разрешение риска после того, как он сработал. То есть выполняется соотвуетствующий contingency plan. Задача этапа – выполнить его наиболее эффективным образом, а также собрать и проанализировать информацию о данном риске для следующего этапа.

Отслеживание и модификация данных по рискам

В данном этапе преследуются следующие цели:

  • мониторинг статуса рисков
  • мониторинг статуса mitigation strategy и contingency plan
  • мониторинг проектных метрик, которые связаны с планами действий
  • определять и извещать все заинтересованные стороны о том, что сработал триггер того или иного плана действий

Так как ситуация на проекте постоянно меняется, то необходимо постоянно отслеживать изменения параметров рисков, корректируя «Top 10 Risk List»:

  • идентификация новых рисков, которые не учитывались до этого
  • изменение количественных оценок на риски (возврат к этапу анализа, Top 10 Risk List может значительно измениться)
  • определение, явилось ли изменение количественных оценок (если таковые есть) результатом выполнения тех или иных планов действий (mitigation strategy или contingency plan). Если величина риска снижается, то, скорее всего, mitigation strategy реализуется успешно, однако не стоит сильно обольщаться на этот счет
  • определение методов и способов коррекции планов действий с учетом определенных изменений, переход к планированию

Заключение

Ключевым моментом процесса управления рисками должно быть периодическое повторение данных процессов, желательно согласованное с длительностью циклов разработки и рабочих процессов. Можно порекомендовать проводить оценку рисков один раз в 1-2 недели в зависимости от размера проекта (в некоторых особо крупных проектах периодичность может быть увеличена до месяца, однако больше я бы делать не стал).
Также хочу порекомендовать сохранять историю изменений списка рисков и их параметров (хотя бы Top 10 Risk List) – в будущем это даст нам необходимые статистические данные.

Постскриптум

Хочется отметить, что информация, приведенная выше, является выжимкой из большой, официальной и предельно формализованной процедуры по менеджменту рисков, которую я создал для компании, в которой работаю. Опущены некоторые формальные этапы (например, планирование управления рисками, контроль), для приведенных этапов дано описание их сути, что помогает понять их, но оставляет определенную свободу выбора и гибкость при применении на различных проектах.

Однако, можно обозначить пути для дальнейшего развития статьи
детализация этапов (входные и выходные документы, ключевые активности и ответственности исполнителей)
предложения по формату документов, которые могут использоваться в процессе
обсуждение наиболее общих рисков и стратегий по их разрешению (так называемый Risk Assessment document)

P.S. Mitigate — смягчать (риски), Risk mitigation- смягчение рисков
contingency — непредвиденное обстоятельство

Опять слямзила с хабра

Что такое митигация рисков?

Митигация (или митигирование) рисков — это термин, происходящий от английского слова mitigation, означающего «смягчение» или «смягчение последствий». Прямой перевод с английского уже частично описывает суть митигации рисков — это снижение последствий от их реализации.

Изначально термин «митигация» применялся в отношении различного рода катастроф и чрезвычайных ситуаций (в понимании способов снижения тяжести их последствий), но в последнее время он нередко используется и в теории управления рисками. Особенно часто этот термин применяется в таких областях как промышленная безопасность и управление рисками в производстве.

При этом, если мы говорим об управлении рисками, митигация означает усилия, направленные не только на уменьшения тяжести последствий реализации риска, но также и на снижение вероятности реализации рискового события.

Фактически, мероприятия воздействия на риск из стандарта «ГОСТ Р ИСО 31000:2010. Менеджмент риска. Принципы и руководство», как раз и являются митигацией рисков.

План митигации рисков

План митигации рисков (англ. mitigation strategy) — это план мероприятий по управлению рисками, направленный на:

  • уменьшение вероятности реализации рисков
  • снижение тяжести последствий их реализации

Уменьшение вероятности реализации рисков может быть обеспечено за счет создания так называемых «проактивных» барьеров — контрольных процедур, основной задачей которых является недопущение рискового события или значительное снижение вероятности его возникновения. Вероятность достаточно снизить до приемлемого для организации уровня, а не до нуля.

Снижение тяжести последствий реализации рисков обеспечивается за счет создания «реактивных» барьеров — мероприятий по минимизации ущерба от реализации риска.

Разработка и внедрение «проактивных» и «реактивных» барьеров на пути риска как раз и является задачей мероприятий по управлению риском или его митигации (митигирования).

Методы реагирования на риск могут включать в себя:

  • избегание риска
  • передача риска
  • управление риском
  • разделение риска
  • принятие риска
  • и д.р.

Основные стратегии митигации рисков с примерами описаны в этом видео на английском языке:

Понятие правового риска

Правовой риск — риск возникновения у кредитной организации убытков вследствие нарушения кредитной организацией и (или) се контрагентами условий заключенных договоров, допускаемых кредитной организацией правовых ошибок при осуществлении деятельности, несовершенства правовой системы, нарушения контрагентами нормативных правовых актов, нахождения филиалов кредитной организации, юридических лиц, в отношении которых кредитная организация осуществляет контроль или значительное влияние, а также контрагентов кредитной организации под юрисдикцией различных государств1.

Замечание 1

В соответствии с разъяснениями Банка России термин «правовой риск» должен использоваться банками в значении с изъятием регуляторного риска как отдельного.

Факторы правового риска

К внутренним факторам возникновения правового риска могут относиться несоблюдение банком законодательства и нормативных актов, несоответствие внутренних документов банка законодательству РФ, неэффективная организация правовой работы, приводящая к правовым ошибкам, нарушение банком условий договоров.

К внешним факторам возникновения правового риска, например, могут относиться несовершенство правовой системы, нарушения клиентами и контрагентами банка условий договоров, законодательства и нормативных актов, нахождение банка, его филиалов, дочерних и зависимых организаций, клиентов и контрагентов под юрисдикцией различных государств.

  • Указание № 3624-У.
  • Разъяснение № 41-2-1-2/1982.

Понятие комплаенс-риска

Указание № 3624-У предписывает банкам использовать в рамках ВПОДК определение регуляторного риска (комплаенс-риска) в значении, установленном Положением № 242-П.

Регуляторный риск (комплаенс-риск) — риск возникновения у кредитной организации убытков из-за несоблюдения законодательства РФ, внутренних документов кредитной организации, стандартов саморегули- руемых организаций (если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов.

Ранее рекомендации БКБН по определению комплаенс-риска были изложены в Письме № 173-Т, где комплаенс-риск определялся как риск применения юридических санкций или санкций регулирующих органов, существенного финансового убытка или потери репутации банком в результате несоблюдения им законов, инструкций, правил, стандартов саморегулирующих организаций или кодексов поведения, касающихся банковской деятельности (табл. 4.22).

Таблица 422

Классификация риск-факторов возникновения комплаенс-риска

Тип риск- фактора

Описание типа риск-фактора

Риск легализации

Риск вовлеченности Банка и его работников в использование услуг Банка в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма.

Факторы риска легализации подразделяются на следующие подтипы:

  • — риск по типу клиента — определяется процентное соотношение клиентов с высоким уровнем риска в отношении к клиентской базе;
  • — страновой риск — риск принятия на обслуживание клиента, являющегося резидентом государства (территории) с «высоким» уровнем странового риска, а также риск осуществления клиентом операций (сделок) с контрагентами, являющимися резидентами государств (территорий) с «высоким» уровнем странового риска;
  • — риск продукта — риск продукта формируется на основании перечня признаков, указывающих на необычный характер сделки,

в целях выявления подозрительных операций, приведенного в приложении к Положению № 375-П, а также с учетом нормативных актов и рекомендаций Банка России

Операционный риск

Факторы риска этого типа подразделяются на следующие подтипы.

  • 1. Неисполнение законодательства в части организации и (или) осуществления внутреннего контроля, не повлекшее непредставления сведений об операциях, подлежащих обязательному контролю (подозрительных операций).
  • 2. Непредставление в уполномоченный орган сведений об операциях, подлежащих обязательному контролю (подозрительных операциях), и (или) представление в уполномоченный орган недостоверных сведений об операциях, подлежащих обязательному контролю (подозрительных операциях).
  • 3. Неисполнение требований законодательства о ПОД/ФТ в части разработки правил внутреннего контроля и (или) назначения специальных должностных лиц, ответственных за реализацию правил внутреннего контроля.
  • 4. Неисполнение законодательства в части блокирования (замораживания) денежных средств или иного имущества либо приостановления операции с денежными средствами или иным имуществом.
  • 5. Непредставление в уполномоченный орган сведений о случаях отказа по основаниям, указанным в Законе № 115-ФЗ, от заключения (исполнения) договоров банковского счета (вклада) с клиентами и (или) от проведения операций.
  • 6. Непредставление в уполномоченный орган по его запросу имеющейся у организации, осуществляющей операции с денежными средствами или иным имуществом, информации об операциях клиентов и о бенефициарных владельцах клиентов либо информации о движении средств по счетам (вкладам) своих клиентов

4.6.3.2. Оценка комплаенс-риска

Относительно методов оценки комплаенс-риска Банк России обозначил следующее: «комплаенс-функция должна изучать способы оценки комллаенс-риска (например, с помощью показателей динамики) и использовать эти оценки для более полной оценки комплаенс-риска. В качестве средства разработки показателей динамики может применяться технология объединения или фильтрации данных, которые могут указывать на потенциальные проблемы управления комплаенс-рисками (например, растущее число претензий клиентов, необычные сделки или платежи и т.д.)»1. Также имеется упоминание о «тесной взаимосвязи с некоторыми аспектами операционного риска» , исходя из чего можно сделать вывод о целесообразности применения подходов, используемых для оценки операционного риска.

  • Письмо № 173-Т.
  • Там же.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *