4501-У и 20-МР: Регулирование операционных рисков

Рынок ценных бумаг — это сложный механизм, который функционирует благодаря профессиональным участникам. Их деятельность регулируется Федеральным законом № 39-ФЗ от 22 апреля 1996 года.
Профессиональные участники рынка ценных бумаг выполняют следующие ключевые функции:

• Брокерские операции: посредничество между покупателями и продавцами ценных бумаг
• Дилерская деятельность: совершение сделок от своего имени и за свой счет
• Управление активами: доверительное управление инвестиционными портфелями клиентов
• Инвестиционное консультирование: предоставление рекомендаций по вложению средств
• Депозитарные услуги: хранение и учет ценных бумаг
• Ведение реестров: фиксация прав владельцев ценных бумаг

Каждое из этих направлений связано с определенными рисками, которые могут повлиять как на сами организации, так и на их клиентов.

Как выстроить эффективное управление рисками в организации?

Для начала организация должна обеспечить выполнение всех требований, связанных с созданием и работой системы управления рисками. Это включает в себя разработку и внедрение мер, которые помогут выявлять, анализировать, оценивать и контролировать риски.

Важно чтобы в компании был назначен ответственный за эту систему — это может быть отдельный сотрудник или целое подразделение. Их задача — следить за тем, чтобы все процессы работали правильно и эффективно.

Кроме того, каждая организация обязана разработать внутренний документ — Регламент управления рисками. В нем прописываются все этапы работы с рисками: как их выявлять, анализировать, оценивать и контролировать. Это помогает систематизировать процесс.

Также важно, чтобы в компании были налажены процессы постоянного мониторинга и контроля рисков. Это означает, что риски не только выявляются, но и регулярно пересматриваются, чтобы своевременно принимать меры для их снижения или предотвращения. Для этого может использоваться служба внутреннего контроля, которая следит за соблюдением всех требований и правил.

Виды рисков согласно определению 4501-У

В соответствии с Указаниями Банка России № 4501-У от 21 августа 2017 года, профессиональные участники рынка ценных бумаг обязаны учитывать и управлять различными видами рисков, которые могут возникнуть в процессе их деятельности.
Кредитный риск
Это риск того, что контрагент (например, клиент или партнер) не выполнит свои обязательства по сделке.

Например, если компания предоставляет кредит или заключает сделку с отсрочкой платежа, есть вероятность, что контрагент не вернет деньги или не выполнит свои обязательства в срок.

Для управления этим риском организации оценивают надежность контрагентов, устанавливают лимиты на операции и используют инструменты страхования или резервирования.
Операционный риск (ОР)
Операционный риск связан с ошибками в процессах, сбоями в работе систем, действиями сотрудников или внешними событиями, которые могут нарушить нормальную работу компании.

Например, это может быть сбой в программном обеспечении, ошибка при проведении операции, мошенничество со стороны сотрудников или даже стихийное бедствие. Чтобы минимизировать такие риски, компании внедряют процедуры, обучают сотрудников, используют резервные системы и тестируют свои процессы.

Рыночный риск
Этот риск связан с изменением рыночных условий, которые могут повлиять на стоимость активов компании.

Например, колебания цен на ценные бумаги, изменения процентных ставок или курсов валют могут привести к потерям.

Правовой риск
Правовой риск возникает из-за неопределенности в законодательстве или из-за возможных судебных разбирательств.

Например, изменения в законах или неправильное толкование нормативных актов могут привести к штрафам или убыткам.

Риск ликвидности
Это риск того, что компания не сможет быстро продать активы или привлечь средства для выполнения своих обязательств.

Например, если на рынке нет покупателей на ценные бумаги, компания может столкнуться с трудностями при попытке их продать и это повлияет в негативную сторону их уменьшения.

Кастодиальный риск
Кастодиальный риск связан с хранением и учетом ценных бумаг.

Например, это может быть риск потери или кражи активов, ошибки в учете или несанкционированного доступа к данным.

Коммерческий риск
Этот риск связан с общей экономической ситуацией и конкуренцией на рынке и зачастую возникает при уменьшении доходов или превышении расходов над доходами, в результате неэффективного управления организацией, возникновения непредвиденных расходов.

Например, снижение спроса на услуги компании, появление новых конкурентов или изменение предпочтений клиентов могут привести к убыткам. Чтобы управлять коммерческим риском, компании анализируют рынок, разрабатывают стратегии развития и адаптируют свои услуги под потребности клиентов.

Управление этими рисками позволяет компаниям избежать серьезных финансовых потерь, защитить интересы клиентов и сохранить стабильность на рынке. Каждый из перечисленных рисков требует своего подхода: где-то нужно улучшить процессы, где-то — усилить контроль, а где-то — использовать специальные финансовые инструменты.

Как происходит выявление рисков

Процессы и мероприятия управления рисками — это комплекс действий, которые помогают организациям выявлять, анализировать, оценивать и контролировать риски, чтобы минимизировать их негативное влияние на деятельность.

Первый этап этого процесса — выявление рисков.

Организация выявляет потенциальные риски, которые могут повлиять на ее деятельность. Это может быть связано с различными аспектами работы: финансовыми операциями, процессами, внешними факторами или действиями сотрудников.
Для этого:

• Проводится анализ всех видов деятельности компании, чтобы понять, где могут возникнуть проблемы
• Учитываются как внутренние факторы (например, ошибки в процессах или сбои в системах), так и внешние (изменения на рынке, новые законы, действия конкурентов)
• Привлекаются эксперты и сотрудники разных отделов, чтобы получить полную картину возможных рисков

После того как риски выявлены, их необходимо систематизировать и зафиксировать. Для этого создается реестр рисков — документ, в котором перечислены все возможные риски, их характеристики и потенциальное влияние на компанию.

Самооценка — это процесс, при котором компания анализирует свои текущие процессы и системы управления рисками, чтобы понять, насколько они эффективны.

В ходе самооценки:

• Проводится внутренний аудит, в ходе которого проверяется, как работают существующие механизмы управления рисками
• Оценивается, насколько хорошо сотрудники понимают риски и следуют установленным процедурам
• Выявляются слабые места и области, где требуется улучшение

Самооценка помогает компании понять, насколько она готова к возможным рискам, и своевременно внести изменения в свои процессы, чтобы избежать проблем в будущем.

Определение источников и видов рисков

Компания оценивает, насколько серьезными могут быть последствия каждого риска.
Это включает два ключевых аспекта:

• Вероятность возникновения риска
• Возможные последствия

Вероятность показывает, насколько высока вероятность того, что риск реализуется.

Например, риск сбоя в системе может быть низким, если используются надежные технологии, но высоким, если оборудование устарело. Возможные последствия — это ущерб, который может нанести риск, например, финансовые потери, репутационный ущерб или штрафы.

Для оценки используются качественные и количественные методы.
Риски ранжируются по степени их значимости:

• Низкие
• Средние
• Высокие

Это помогает компании понять, на каких рисках нужно сосредоточиться в первую очередь.

После оценки рисков компания сравнивает их с заранее определенными критериями. Эти критерии могут включать допустимый уровень риска, цели компании (сохранение прибыли или защита репутации) и доступные ресурсы.

Если риск превышает установленные критерии, он считается неприемлемым, и компания должна принять меры для его снижения. Если риск находится в пределах допустимого уровня, его можно принять или контролировать на текущем уровне.

Сопоставление с критериями помогает компании принимать обоснованные решения: какие риски можно игнорировать, а какие требуют немедленного вмешательства.

Затем компания определяет максимально допустимый уровень риска, который она готова принять. Это называется риск-аппетит.

Например, компания может установить, что максимальные потери от кредитного риска не должны превышать 5% от капитала, или что количество сбоев в год должно быть ограничено.

Установление предельных размеров рисков помогает компании оставаться в рамках допустимого уровня и избегать ситуаций, которые могут угрожать ее стабильности.

Основные задачи Методических рекомендаций № 20-МР

Операционные риски — одна из ключевых угроз для профессиональных участников рынка ценных бумаг. Они могут возникать из-за сбоев в процессах, ошибок персонала, внешних факторов или изменений в технологиях.

Чтобы минимизировать такие риски, Банк России разработал комплекс нормативных документов, включая Указания № 4501-У и Методические рекомендации № 20-МР от 29 ноября 2024 года. Эти документы конкретизируют подходы к созданию системы управления операционными рисками (СУОР) и устанавливают новые стандарты для участников рынка.

Методические рекомендации № 20-МР направлены на помощь компаниям в построении эффективной системы управления операционными рисками. Документ перекликается с требованиями, предъявляемыми к кредитным организациям (Положение № 716-П), и дополняет нормы Положения № 779-П, касающиеся операционной надежности.

Основная цель — обеспечить устойчивость бизнеса за счет выявления, оценки и контроля операционных рисков.

Ключевые элементы системы управления операционными рисками (СУОР)

Для создания эффективной СУОР профессиональные участники рынка ценных бумаг должны учитывать следующие элементы:

• Выявление и оценка рисков
  • Проведение самооценки процессов и выявление источников операционных рисков
  • Моделирование потенциальных угроз и их последствий
  • Оценка рисков, связанных с внедрением или обновлением программно-технических средств
• Установление лимитов и их пересмотр
  • Определение предельных значений операционных рисков, которые должны соответствовать стратегии бизнеса и масштабу деятельности
  • Регулярный пересмотр лимитов (не реже одного раза в год)
• Формирование отчетности
  • Подготовка отчетов об управлении рисками не реже одного раза в квартал
  • Представление отчетов совету директоров как минимум раз в год для контроля и принятия обоснованных решений
• Информационная безопасность
• Внедрение организационных и технических мер в соответствии с Положением Банка России № 757-П и ГОСТ Р 57580.3–2022
• Минимизация рисков, связанных с утечкой данных, кибератаками и другими угрозами информационной безопасности

Особое внимание в Методических рекомендациях уделяется защите данных. Участники рынка обязаны внедрять современные технологии и организационные меры для предотвращения утечек информации и кибератак. Это не только снижает операционные риски, но и повышает доверие клиентов и партнеров.