Для предоставления в территориальное учреждение Банка России информации о расчете кредитного риска (далее - расчете) кредитной организации необходимо использовать представленный шаблон таблицы в виде файла в формате Microsoft Excel.

Расчет предоставляется в целом по кредитной организации.

Наименование файла, содержащего заполненную кредитной организацией таблицу, составляется в соответствии с шаблоном вида: NN-RRRR.xls, где NN - код территориального образования, в котором зарегистрирована кредитная организация и который соответствует Общероссийскому классификатору объектов административно-территориального деления (ОКАТО), а RRRR - регистрационный номер кредитной организации, присвоенный ей Банком России.

Например, файл с таблицей кредитной организации, находящейся в г. Москве (код по ОКАТО - 45) и имеющей регистрационный номер 4321, будет иметь наименование: 45-4321.xls.

В графе 3 таблицы указывается величина кредитного требования, подверженная риску дефолта (EAD), которая рассчитывается в соответствии с главой 4 пунктом 4.9 и подпунктом 4.10.3 пункта 4.10 Методических рекомендаций по реализации подхода к расчету кредитного риска на основе внутренних рейтингов банков (далее - Методические рекомендации). Банк рассчитывает средневзвешенные значения EAD по каждому классу кредитных требований.

В графе 4 таблицы указывается вероятность дефолта (PD), которая рассчитывается в соответствии с главой 4 подпунктами 4.10.1 и 4.10.5 пункта 4.10 Методических рекомендаций. Банк рассчитывает средние значения PD по каждому классу кредитных требований.

В графе 5 таблицы указывается уровень потерь при дефолте (LGD), который рассчитывается в соответствии с главой 4 пунктом 4.9 и подпунктом 4.10.2 пункта 4.10 Методических рекомендаций. Банк рассчитывает средневзвешенные значения LGD по каждому классу кредитных требований. Для обеспеченных ссуд LGD рассчитывается в соответствии с формулой (11) Методических рекомендаций.

В графе 6 таблицы указывается срок до погашения кредитного требования (M), который рассчитывается в соответствии с главой 4 пунктом 4.8 Методических рекомендаций. Банк рассчитывает средние значения M по кредитным требованиям к корпоративным заемщикам, суверенным заемщикам и финансовым институтам.

В графе 7 таблицы указываются взвешенные по риску кредитные требования (), которые рассчитываются в соответствии с главой 4 пунктами 4.1 - 4.5 Методических рекомендаций. Банк рассчитывает по каждому классу кредитных требований.

В графе 8 таблицы указывается среднегодовой объем выручки заемщиков, включенных в подкласс кредитных требований к субъектам среднего и малого предпринимательства в соответствии с главой 2

Карта рисков – баловство для конечных пользователей. В консультационных проектах один из авторов навострился изображать эти карты вручную в PowerPoint буквально за 10-15 минут, вместе с красивыми кружочками и легендой. Но ручной труд методологически неправилен, так как повышает вероятность ошибки. Исходя из этого и решили все-таки сделать карту рисков в формате Microsoft Excel.

В качестве технического задания взяли наиболее наглядную карту рисков в терминологии страницы « ». Из существующих типов диаграмм в Microsoft Excel можно использовать пузырьковую и точечную (XY-диаграмму). Результат на примере карты рисков условного предприятия в Excel2016 – . В предыдущих версиях сделать автоматическую нумерацию не получается (собственно, поэтому раньше и статьи такой не было).

Последовательность действий для людей, знающих Microsoft Excel:

• создаем диаграмму. При этом выбираем по оси абсцисс – ущерб, по оси ординат – вероятность, в качестве имени ряда в источнике данных добавляем номера рисков. Для пузырьковой диаграммы дополнительно рассчитываем долю математического ожидания каждого риска в общем математическом ожидании. Целесообразно использовать именно этот параметр, так как размер должен отражать что-то новое, а привязка к ущербу либо вероятности приведет к банальности в виде того, что чем правее и выше риск, тем больше кружочек. Отметим, что для правильного размера кружочков риски должны быть независимыми друг от друга, что достигается автоматически, если следовать рекомендациям соответствующего ;
• добавляем подписи данных, помещаем эти подписи сверху ряда. В качестве подписи отображаем номера рисков. Чтобы кружочки были одинаковыми по размеру, номера рисков с 1 по 9 заменяем на текстовый формат « 1», « 2» и т.д. (извините за извращение, но другого варианта не нашли);
• опционально оформляем диаграмму: добавляем название, подписываем оси, выбираем градиентную заливку и играемся с градиентами, добавляем логарифмическую шкалу по ущербу, украшаем ряды данных и пр.

Какие проблемы при автоматическом построении карты рисков в Microsoft Excel нужно дополнительно решить:

1. При одинаковых или близких по значению рисках отображается только один из них. Например, на картах рисков условного предприятия не видны риски под №9 и №22. Варианты устранения: (1) немного изменить исходные данные, то есть вместо двух рисков с вероятностью 50% и ущербом в 100 млн. руб. нарисовать риски с вероятностями 48 и 52% и ущербом 96 и 104 млн. руб., (2) дорисовывать кружочки руками или же (3) увеличить размер диаграммы (как в рассматриваемом случае, когда нет одинаковых рисков по вероятности и ущербу).
2. Линия толерантности в виде линии в автоматическом режиме не отражается. Варианты устранения: (1) использовать градиентную заливку, в Microsoft Excel 2016 она автоматически принимает нужные цвета (кстати, особенно красиво выглядит, если по ущербу поставить логарифмическую ось) или же (2) дорисовывать линию руками.
3. Для наиболее наглядной карты рисков кружочки с рисками, не попадающими на карту, необходимо дорисовать руками.
4. Практически невозможно вставить в легенду названия рисков. На самом деле проблемой это не является, так как автоматические средства Microsoft Excel не очень экономно расходуют пространство в диаграмме, и в результате диаграмма при печати оказывается мельче, чем могла бы быть.

Несмотря на указанные недостатки, задача выполнена. Пользоваться можно если не для представления уважаемым людям, то в качестве контрольной процедуры.

размер шрифта

ПИСЬМО ГТК РФ от 30-08-2004 01-0631416 О НАПРАВЛЕНИИ ФОРМЫ ПРОФИЛЯ РИСКА И МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ПО ЕЕ ЗАПОЛНЕНИЮ (2019) Актуально в 2018 году

Заполнение отдельных полей и граф формы профиля риска

Графы "Сфера действия ПР", "Подразделение" и "Срок действия ГЕР" заполняются путем выбора одного из предлагаемых альтернативных вариантов.

В графе "до" поля "Срок действия ПР" указывается дата окончания действия профиля риска в формате ДД.ММ.ГГГГ. Настоящая графа не заполняется, если профиль риска должен будет действовать постоянно.

В столбце "Показатель индикатора риска" указываются точные (по возможности - цифровые) показатели соответствующих индикаторов риска.

Важно! При заполнении показателей индикаторов риска необходимо исходить из того, чтобы в дальнейшем автоматизированная система, которая будет. использоваться для целей доведения и применения профилей риска, обрабатывала указанные показатели индикаторов риска. Поэтому не допускается использование в качестве показателей индикаторов риска общих фраз и предложений, понятных человеку, но не поддающихся математической или логической формализации.

При указании показателей индикаторов риска могут также использоваться знаки " < ", " > ", " <= ", " >= ", а также иные логические выражения.

Ниже по Форме в области риска указываются остальные показатели области риска:

Таможенные процедуры, при которых применяется профиль риска (например, декларирование товаров или оформление начала процедуры ВТТ) <1>;

В поле "Примечание" под таблицами могут быть даны конкретизирующие пояснения к указанной информации о проведении таможенного досмотра (например, какие сведения необходимо указать в акте таможенного досмотра).

В разделе "Контактная информация" в поле "Ответственные подразделения таможенных органов по контролю за действием ПР" указываются наименования соответствующих подразделений, на которые возлагается осуществление контроля за применением прямых мер по минимизации рисков, утвержденных в профиле риска, и актуализация профиля риска.

Заполняются данные о контактном лице, уполномоченном давать разъяснения по вопросам действия профиля риска и применения мер по минимизации рисков.

КОЛИЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ

1. Условия применения

Количественный метод удобно применять, когда:

Допустимый риск может быть определен в численной форме (например, определенное последствие не должно произойти чаще, чем один раз в 10 4 лет);

Заданы численные планируемые (ожидаемые) значения полноты безопасности для систем, связанных с безопасностью.

Метод, в частности, применим, когда модель риска соответствует моделям, показанным на рис. 1 и 2 приложения 5 к настоящему стандарту.

2.Общий метод

Модель, используемая для иллюстрации общих принципов, показана на рис. 1 приложения 5. Ключевые шаги в методе, которые должны быть выполнены для каждой функции безопасности, которая будет выполняться Э/Э/ЭП системой, связанной с безопасностью, следующие:

Определение допустимого риска из таблицы, такой как табл. 1 приложения 6;

Определение риска оборудования, находящегося под управлением (ОПУ);

Определение необходимого снижения риска для достижения допустимого риска;

Распределение необходимого снижения риска по Э/Э/ЭП системам, связанным с безопасностью, системам, связанным с безопасностью, основанным на других технологиях, и внешним средствам снижения риска.

Таблица 1 приложения 6 к настоящему стандарту, заполненная частотами возникновения риска, позволяет определить планируемый (ожидаемый) допустимый риск (F t ).

Частота, связанная с риском, который существует для ОПУ, включая систему управления ОПУ и человеческий фактор (риск ОПУ), в отсутствие любых защитных мер, может быть оценена с использованием численных методов оценки риска. Это частота, с которой может происходить опасное событие в отсутствие защитных мер (F np ), - является одним из двух компонентов риска ОПУ. Другой компонент риска - последствие опасного случая. F np - может быть определен с помощью

Анализа частоты (коэффициента) отказов в сопоставимых ситуациях;

Данных из уместных баз данных;

Расчетов с применением соответствующих методов прогноза.

Стандарты, указанные в приложении 5 к настоящему стандарту, содержат ограничения на минимальные частоты отказов, которые могут потребоваться для систем управления ОПУ. Если требуется, чтобы система управления ОПУ имела частоту отказов меньшую, чем минимальная частота отказов, то система управления ОПУ будет рассматриваться как система, связанная с безопасностью, и на нее будут распространяться все требования настоящего стандарта для систем, связанных с безопасностью.

3. Пример расчета

На рис. 1 показан пример расчета планируемой (ожидаемой) полноты безопасности для одиночной системы, связанной с безопасностью. Для этой ситуации

PFD avg £ F t /F np ,

где PFD avg - средняя вероятность отказа по требованию (по обращению) защитной системы (системы защиты), связанной с безопасностью, работающей в режиме низкой частоты обращений (см. раздел настоящего 7 стандарта);

F t - частота допустимого риска;

F np - частота риска при наличии защитных мер.

Можно заметить, что определение F np для ОПУ важно из-за его отношения к PFD avg и, следовательно, к уровню полноты безопасности системы, связанной с безопасностью.

Необходимые шаги в получении уровня полноты безопасности (когда последствия С остаются постоянными, как на рис. 1) для ситуации, где полное необходимое сокращение риска достигнуто единственной системой защиты, связанной с безопасностью, которая должна уменьшить частоту опасных событий, как минимум, с F np до F t , следующие:

Определение частоты событий риска без каких-либо дополнительных защитных мер (F np );

Определение последствий С без добавления каких-либо дополнительных мер безопасности;

Определение (с использованием табл. 1 приложения 6), достигнут ли для частоты F np и последствий С допустимый риск. Если на основании таблицы 1 это приводит к риску класса I, то требуется дальнейшее сокращение риска. Риски классов IV или III были бы допустимыми рисками. Риск класса II потребовал бы дополнительного изучения;

Примечание - Таблица 1 приложения 6 используется для проверки, требуются ли или нет дальнейшие меры по снижению риска до тех пор, пока не окажется возможным достижение допустимого риска без каких-либо дополнительных защитных мер.

Определение вероятности отказа по запросу (отказа по требованию) для системы защиты, связанной с безопасностью, (PFD avg ) для достижения необходимого сокращения риска (DR ). Для постоянных последствий в определенной описанной ситуации, PFD avg = (F t /F np ) - DR ;

Для PFD avg = (F t /F np ) уровень полноты безопасности может быть получен из таблицы 2, приведенной в разделе 7 настоящего стандарта (например, для PFD avg = 10 -2 - 10 -3 , уровень полноты безопасности равен 2).

Рис. 1. Распределение полноты безопасности: пример системы защиты, относящейся к безопасности

ПРИЛОЖЕНИЕ 8

КАЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МЕТОД ГРАФА РИСКА

1. Условия применения

Настоящее приложение описывает графический метод оценки риска (метод графа риска), который является качественным методом, и который позволяет определить уровень полноты безопасности системы, относящейся к безопасности, исходя из знаний факторов риска, связанных с ОПУ и системой управления ОПУ. Его удобно применять, когда модель риска такая, как показано на рис. 1 и 2 приложения 5.

В случаях, когда для упрощения рассмотрения вопросов безопасности принимают качественный подход, вводят ряд параметров, которые вместе описывают природу опасной ситуации, когда система, связанная с безопасностью, отказывает или находится вне доступа. Из каждого из четырех наборов выбирают один параметр, и выбранные параметры затем объединяют, чтобы определить место положения систем, связанных с безопасностью. Эти параметры

Позволяют сделать градуировку рисков по значению и

2. Синтез графа риска

Нижеследующие упрощенные процедуры основаны на выражении

R = f ×C ,

где R - риск в отсутствие системы, связанной с безопасностью;

f - частота приводящего к ущербу события в отсутствие системы, связанной с безопасностью;

С - последствия приводящего к ущербу события (последствие должно быть отнесено к ущербу, связанному с здоровьем и безопасностью или ущербом, нанесенным окружающей среде).

Частота приводящих к ущербу событий f в этом случае определяется тремя влияющими факторами

Частотой и временем пребывания в опасной зоне;

Вероятностью избежания приводящего к ущербу события;

Вероятностью наступления приводящего к ущербу события в отсутствие какой-либо системы, относящейся к безопасности, (но имеющей в наличии внешние средства снижения риска) - ее называют вероятностью нежелательного события.

Она производит четыре следующих параметра

Последствие приводящего к ущербу события (С );

Частоту и время подтверждения воздействию в опасной зоне (F );

Вероятность неудачи в избежании приводящего к ущербу события (Р )

Вероятность нежелательного события (W ).

3. Другие возможные параметры риска

Полагается, что определенные выше параметры риска являются в достаточной степени родовыми, чтобы их можно было распространять на широкий диапазон применений. Могут, однако, быть применения, которые требуют введения дополнительных параметров. Например, использование новых технологий (технических средств) в ОПУ и системах управления ОПУ. Назначение дополнительных параметров состояло бы в более точной оценке необходимого сокращения риска (см. рис. 1 приложения 5).

Рис. 1 - Граф риска: Общая схема

4. Выполнение графа риска

Комбинация параметров риска, описанных выше, позволяет получить граф риск в виде, показанном на рис. 1: С A < С В < С С < C D ; F A < F B ; P A < P B ; W 1 < W 2 < W 3 . Толкование этого графа риска следующее:

Использование параметров риска С , F и Р приводит к ряду исходов X 1 , X 2 , Х 3 ,..., Х n (точное число зависит от области применения, чтобы быть покрытой графом риска). Рис. 1 показывает ситуацию, при которой не обеспечивается никакой дополнительный вклад для более серьезных последствий. Каждый из этих исходов отображается на одной из трех шкал (W 1 , W 2 или W 3). Каждая точка этих шкал обозначает необходимую полноту безопасности, которая должна быть достигнута с помощью рассматриваемой Э/Э/ЭП системы, связанной с безопасностью. На практике будут ситуации, когда для специфических последствий одиночная Э/Э/ЭП система, связанная с безопасностью, не позволит достичь необходимого снижения риска.

Отображение на шкалах W 1 , W 2 или W 3 позволяет ввести для использования другие меры снижения риска. То есть, шкала W 3 предусматривает минимальное снижение риска, внесенное другими средствами (то есть, самую высокую вероятность имеющего место нежелательного происшествия), шкала W 2 предусматривает средний вклад, и шкала W 1 - максимальный вклад. Для специфических промежуточных точек графа риска (например, X 1 , X 2 ... или Х 6) или для специфической шкалы W (например, W 1 , W 2 или W 3) финальный выход (исход) графа риска дает уровень полноты безопасности Э/Э/ЭП системы, связанной с безопасностью (например, 1, 2, 3 или 4) и требуемые средства снижения риска для этой системы. Это снижение риска, вместе со снижением риска, достигаемым с помощью других мер (например, с помощью систем, связанных с безопасностью, основанных на других технологиях, и внешних средств снижения риска), которые принимаются в расчет с помощью механизма W -шкал, дает необходимое снижение риска для специфической ситуации.

Параметры, обозначенные на рис. 1 (С A , C B , C C , C D , F A , F B , P A , P B , W 1 , W 2 , W 3), и их содержимое должны были бы точно определены для каждой конкретной ситуации или сопоставимой отрасли промышленности.

5. Пример графа риска

Выполнение графа риска, основанного на данных таблицы 1 приложения 6, показано на рис. 2. Использование параметров риска С , F , и Р приводит к одному из восьми выходов (исходов). Каждый из этих выходов (исходов) обозначается на одной из трех шкал (W 1 , W 2 и W 3). Каждая точка на этих шкалах (а , b , с , d , e , g и h ) является обозначением необходимого сокращения риска, который должен быть достигнут системой, связанной с безопасностью.

Рис. 2 - Граф риска: пример (иллюстрирует лишь основные принципы)

Таблица 1

Данные к примеру графа риска (рис. 2)

ПРИЛОЖЕНИЕ 9

КАЧЕСТВЕННЫЙ МЕТОД ОПРЕДЕЛЕНИЯ ПОЛНОТЫ БЕЗОПАСНОСТИ - МАТРИЦА КРИТИЧНОСТИ СОБЫТИЙ

1. Условия применения

Численный (количественный) метод, описанный в приложении 6, не применим, когда риск (или частота его появления) не могут быть определены количественно. Настоящее приложение описывает метод матрицы серьезности (критичности) приводящих к ущербу событий, который относится к качественному методу и позволяет определить уровень полноты безопасности Э/Э/ЭП системы, связанной с безопасностью (ССБ), на основании знаний факторов риска, связанных с оборудованием, находящимся под управлением (ОПУ), и системой управления ОПУ. Он практически применим, когда модель риска такая, как показано на рис. 1 и 2 приложения 5.

Схема, приведенная в настоящем приложении, предполагает, что каждая система, связанная с безопасностью (ССБ), и внешние средства снижения риска являются независимыми.

2. Матрица серьезности (критичности) приводящих к ущербу событий

В основу матрицы положены следующие обязательные требования:

a) системы, связанные с безопасностью (ССБ), (Э/Э/ЭП или ССБ, основанные на других технологиях), вместе с внешними средствами снижения риска являются независимыми;

b) каждая система, связанная с безопасностью (Э/Э/ЭП или ССБ, основанная на другой технологии), вместе с внешними средствами снижения риска рассматриваются как слои защиты, которые обеспечивают по своим собственным правилам (возможностям) частичные сокращения риска, как показано на рис. 1 приложения 5.

Примечание - Это допущение справедливо только, если выполняются регулярные контрольные испытания слоев защиты.

c) увеличение уровня полноты безопасности достигается тогда, когда добавляется один слой защиты (b), см. выше);

d) используется только одна Э/Э/ЭП система, связанная с безопасностью, (но она может быть объединена с системой, связанной с безопасностью, основанной на другой технологии, и/или с внешним средством снижения риска).

Приведенные выше рассуждения подводят к матрице серьезности приводящих к ущербу событий, показанной на рис. 1. Следует отметить, что матрица заполнена примерными данными для иллюстрации общих принципов. Для каждой конкретной ситуации или сектора сопоставимой отрасли промышленности может быть построена своя матрица, подобная матрице, изображенной на рис. 1.

В ходе идентификации и оценки финансовых рисков применяются различные графические методы, дающие наглядное представление распределения рисков во времени, по видам деятельности, по стадиям бизнес-процесса, в пространстве (например по помещениям), по размерам выявленного ущерба и т.д. Но самым универсальным инструментом визуализации информации, широко используемым в риск-менеджменте, является так называемая карта рисков. Она строится на основе реестра рисков и их качественных и количественных характеристик, полученных в процессе измерения. Карту рисков можно построить либо для всей организации, либо для какого-либо подразделения. Кроме того, карты рисков могут быть составлены для направления деятельности организации или для отдельного проекта, программы.

Наиболее простые карты рисков, как правило, представляются в табличной форме. В случаях, когда для измерения рисков используются качественно-количественные шкалы вероятностей и последствий, применяют матричные карты рисков. Матричная карта риска – графическое и текстовое описание ограниченного числа рисков организации, расположенных в прямоугольной таблице, по одной "оси" которой указана сила воздействия или значимость риска, а по другой – вероятность или частота его возникновения. В случаях, когда для измерения рисков используются качественно- количественные шкалы вероятностей и последствий, то весь спектр рисков делится на ячейки. Из-за внешнего сходства такую карту рисков иногда называют "матрицей".

Вообще говоря, методологии построения карты рисков столь же различны, как различны риски компаний. Построение карты рисков может производиться как в рамках внедрения системы управления рисками на уровне всей организации, так и для решения обособленного круга задач по управлению рисками. Методы, которые применяют консультанты (эксперты) при составлении карты рисков, включают интервью , формализованные и неформализованные опросники у обзоры и исследования отрасли , анализ документационного комплекта компапииу численные методы оценки и т.п.

Состав команды консультантов (экспертов) является очень важным для успеха процесса картографирования рисков. При проведении работы профессиональными консультантами, команда (рабочая группа) включает обычно тех специалистов, которые обладают опытом и экспертными знаниями. Опыт показывает, что команда работает эффективно, если состоит из шести – десяти человек. Только определив границы анализа, можно определить, кто включается в команду. При составлении карты финансовых рисков компании, в команду в обязательном порядке включается руководитель финансового отдела, руководитель юридического, контрольного, ГГ отделов и др. Степень детализации, необходимой при анализе, специфична для каждого риска и изменяется от одного риска к другому, а зависит в основном от целей, которые преследует организация.

Картографирование – это сложный процесс, включающий в себя множество конкретных операций, но в обобщенном виде он заключается в визуализации выявленных рисков. Выявление рисков включает в себя анализ финансовых рисков, направленный на идентификацию и оценку рисков.

Напомним, что идентификация является первым и одним из основных этапов анализа риска. Результаты идентификации рисков позволяют описать и составить реестр рисков. Оценка рисков предполагает определение (расчеты) основных качественных и количественных параметров (величины) риска.

Результаты идентификации и оценки рисков заносятся в карты финансовых рисков. Для построения карты финансовых рисков (далее – Карта) необходимо выполнить следующие последовательные шаги и заполнить все графы следующей таблицы (табл. 2.6).

На начальном этапе идентификация предполагает выбор владельца риска {субъект риска). В нашей Карте это строка – должность.

Так называемые владельцы рисков (от англ. – riskowners) – это сотрудники, специалисты, которым руководитель поручает наблюдать за триггерами некоторого определенного риска, а также управлять ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний относительно той или иной проблемы или в связи с тем, что они обладают определенным контролем над специфическим риском.

Здесь проводится выбор должности сотрудника и идентификация выполняемых им видов деятельности и связанных с этими видами деятельности объектов управления. Выбранный вид деятельности занесем в графу 2 Карты.

В группу субъектов с повышенным финансовым риском входят те, для которых характерно:

• наличие полномочий, связанных с распределением значительных финансовых средств;
• высокая степень свободы действия, вызванная спецификой их работы;
• высокая интенсивность контактов с организациями и их представителями.

Следующим шагом является определение перечня должностных обязанностей с высоким финансовым риском. Идентификация и оценка рисков проводится по конкретному перечню должностных обязанностей с высокой вероятностью проявления финансовых рисков.

Графа 3 Карты предполагает рассмотрение и анализ условий в работе. Обычно выделяют следующие условия:

КАРТА ФИНАНСОВЫХ РИСКОВ №________________

Подразделение: _________________________________________________

Должность: ____________________________________________________

Заполнил

(Руководитель подразделения) (подпись) (Фамилия И. О.) (дата) СОГЛАСОВАНО

Руководитель организации (подразделения) _____________________________________________________________

______________________________________________________________________

• (ЭКСПЕРТ/КОНСУЛЬТАНТ)
• нормальные (плановая деятельность) – обозначаются буквой "Н";
• аварийные (инциденты и другие чрезвычайные ситуации) – обозначаются буквой "А".

Идентификация конкретных видов финансовых рисков, связанных с выбранными видами деятельности, заносится в графу 4 Карты.

Выявленные риски описываются и оформляются в виде Реестра финансовых рисков (табл. 2.7).

Таблица 2.7

Реестр финансовых рисков

Графа 5 Карты предполагает идентификацию существующих мер от воздействия опасностей (регламентов, мер) по выбранному виду деятельности (работы). К мерам от воздействия опасностей можно отнести:

• обучение и повышение квалификации в области минимизации финансовых рисков;
• проведение паспортизации рабочих мест;
• проведение аттестации рабочих мест по условиям труда;
• проведение тестирования внедренных стандартов, норм, нормативов;
• выявление зон бизнес-процессов, не покрытых контролями;
• выявление неэффективных контролей;
• внедрение новых индикаторов финансовых рисков;
• другие аналогичные меры.

Идентификация по происшествиям (коммерческий подкуп, служебный подлог, торговля инсайдерской информацией, превышение должностных полномочий и т.д.) в организации заполняется в графе 6 Карты. Информация по происшествиям накапливается в представленной таблице (табл. 2.8).

Таблица 2.8

Информация по происшествиям

Описание тяжести опасного события (предполагаемого – при отсутствии статистики) от возможного воздействия опасности (графа 7 Карты) с учетом выполнения существующих мер от этого воздействия (стандартов по минимизации финансовых рисков).

Наиболее сложный шаг – это оценка риска. Оценка риска, связанного с идентифицированной опасностью, заносится в графы 7–10 Карты.

Оценка риска, связанного с идентифицированной опасностью, осуществляется по следующей формуле:

где Р – риск; Т – тяжесть вреда; – вероятность проявления опасности; – подверженность воздействию опасности.

Тяжесть вреда (Т) оценивается в балльной системе (например в десятибалльной) и заполняется в виде таблицы (табл. 2.9).

Таблица 2.9

Тяжесть вреда Т

Тяжесть вреда определяется экспертной оценкой рабочей группы, которая проводит картографирование. Они определяют тяжесть и проставляют баллы исходя из специфики хозяйствующего субъекта. Поэтому, например, вред от отзыва лицензии на осуществление операций в иностранной валюте для одних организаций будет составлять 9 баллов, а для других, непрофильных организаций, гораздо меньше.

Вероятность вреда (В) рассматривается экспертами с точки зрения вероятности проявления опасности и подверженности воздействию опасности и заполняется в следующей табличной форме (табл. 2.10).

Таблица 2.10

Вероятность вреда В

Далее выявленные риски необходимо отсортировать. Разберем реальную технику сортировки большого количества рисков, которая зарекомендовала себя на примере не одной сотни компаний. Она активно используется и пропагандируется подразделением Risk Management Special Interest Group (RMSIG ) из Project Management Institute . Суть метода состоит в том, чтобы распределить риски по специальной карте (другое ее название – PI- матрица). Карта должна выглядеть так, как показано в табл. 2.11. Обычно все идентифицированные риски распределяются между сотрудниками группы по работе с рисками. За риск, как правило, отвечает тот, кто идентифицировал данный риск (источник указан на RMC- карте). Риски, определенные теми, кто не присутствует при данной процедуре, делятся поровну между всеми остальными участниками. Затем участники распределяют имеющиеся у них риски по определенным квадратам, т.е. ранжируют вероятности и степени влияния данных рисков.

Таблица 2.11

Карта сортировки рисков

Бывает необходимо повысить качество индивидуальных решений о вероятности и степени влияния рисков. Рекомендуется раздать членам команды фломастеры разных цветов и предложить, просмотрев все риски, промаркировать те, с которыми они не согласны и которые, по их мнению, необходимо обсудить отдельно. После этого маркированные риски обсуждаются и делаются соответствующие изменения. По окончании данного шага вероятность и степень воздействия каждого риска на проект считается установленной, и в RMC- карты вносятся вероятность данного риска и степень влияния.

Кроме процедуры сортировки рисков, их необходимо прораижировать, т.е. определить RR (от англ. – risk ranking) для каждого риска. Формула для определения RR такова:

RR = Вероятность риска (В) × Степень воздействия риска (Y ).

Этот шаг повторяет сортировку рисков по карте, однако специалисты советуют проводить его, так как это понадобится в дальнейшем. Потом уже можно определить, какие риски будут запущены в процесс управления рисками. Список рисков согласно значению RR позволяет отсортировать их. Таким образом, риски, которые возникают с очень низкой вероятностью или будут оказывать очень незначительное воздействие на проект, могут быть удалены из дальнейшего анализа.

Самое важное на этом шаге – принять решение по поводу пороговых величин рисков, которые будут участвовать в дальнейшем рассмотрении. Это сложный вопрос, по которому трудно дать конкретные рекомендации. Огромную роль здесь играет опыт руководителя проекта, а также уровни рисков, которые приняты как пороговые в компании. Если в компании принят максимальный уровень риска проектов 70, то все риски, имеющие RR выше 45–50, должны быть признаны значимыми. Все риски, имеющие RR ниже 45–50, документируются, но в работу по управлению рисками не запускаются. Выявленные риски ранжируются, составляется их письменное описание, которое заносят в специальную таблицу (табл. 2.12). Подобная таблица заполняется каждым экспертом.

Таблица 2.12

Карта ранжирования рисков

Результаты идентификации и оценки рисков заносятся в Карты для предоставления руководству. Выявленные, отсортированные и проранжированные риски заносятся в первый вариант итоговой Карты коррупционных рисков. По сути, часть этой работы мы уже сделали, заполнив табл. 2.6.

Для более наглядного представления выявленные и отсортированные риски заносятся в матричную Карту рисков. В зависимости от степени опасности выделяют несколько категорий рисков. Количество категорий соответствует потребностям исследования. В качестве отправной точки можно воспользоваться представленной табл. 2.13. Она поможет определить Высокий , Средний или Низкий уровень риска в зависимости от его вероятности и последствий. К примеру, сочетание Высокая вероятность + Высокое влияние будет, очевидно, означать Высокий уровень риска.

Таблица 2.13

Уровень риска

Эти девять простых сочетаний характеристик рисков можно также представить в табличном виде следующим образом (табл. 2.14).

Таблица 2.14

Уровень риска и меры по их управлению

В клетках представлены сочетания вероятности и последствий, которые вполне безопасно можно проигнорировать. В клетках представлены сочетания, которые требуют принятия срочных мер по управлению рисками. Клетки представляют сочетания, которые требуют пристального внимания и регулярной переоценки в будущем.

Оценка рисков действует на протяжении определенного периода. Чтобы иметь основания применять аппарат теории вероятностей, этот период должен быть достаточно большим (три-пять лет). Если вероятность события (например кража) мала, рассматриваемый период следует еще увеличить. Но за это время ситуация существенно изменится и старые оценки потеряют смысл. Следовательно, при оценке рисков событиями с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то что потенциальный ущерб от них может быть велик. Отметим, что это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью. На самом деле, па первом плане должны быть риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода. В то же время необходимо иметь в виду, что вероятность негативного события оценить сколько-нибудь точно очень сложно. Поэтому рекомендуется рассматривать риски не как числовые значения, а как точки на плоскости, где координатными осями служат вероятности и потери (рис. 2.4). Линиями уровня для функции риска служат гиперболы.

Риск события U1 относится к числу обычно переоцениваемых руководителями; на практике, в силу низкой вероятности, большей частью подобных рисков целесообразно пренебречь.

Очень важным шагом в анализе рисков является определение границы толерантности к риску. Граница толерантности к риску – критическая граница терпимости к риску. Выбор линии толерантности осуществляется волевым решением менеджмента компании. Финансовые риски, расположенные выше и справа от границы, считаются "неприемлемыми" и требуют непосредственного внимания с точки зрения управления. Те угрозы, которые расположены ниже и слева от границы, в настоящее время считаются терпи-

Рис. 2.4.

мыми. Граница толерантности к риску изменяется в зависимости от аппетита организации на риск. При классификации рисков по значимости/вероятности даже без численной оценки можно примерно оценить величину финансовых потерь от того или иного риска, что позволяет определиться в какой-то мере с аппетитом организации на риск и определить границу терпимости к риску на карте. С целью наглядного представления границы толерантности (терпимости, приемлемости) к риску, карту финансовых рисков представляют в следующем виде (рис. 2.5).

Рис. 2.5.

Границы приемлемости рисков позволяют сразу же визуально определить деление рисков по категориям с точки зрения опасности, которую они представляют. Карту рисков можно немного усложнить и представить в цвете. Например, матричная Карта рисков может иметь такой вид (рис. 2.6).

Рис. 2.6.

На этой карте рисков вероятность или частота отображается по вертикальной оси, а сила воздействия или значимость – по горизонтальной оси. В этом случае вероятность появления риска увеличивается снизу вверх при продвижении по вертикальной оси, а воздействие риска увеличивается слева направо по горизонтальной оси. Арабские цифры на карте – обозначения рисков, которые были классифицированы так, чтобы каждому сочетанию вероятность/значимость был приписан один вид риска.

Такая классификация, размещающая каждый риск в специфическую отдельную "коробочку", не является обязательной, но упрощает процесс установки приоритетов, показывая положение каждого риска относительно других (увеличивает разрешающую способность данного метода). Жирная ломаная линия – критическая граница терпимости к риску; клетки – сочетания вероятности и значимости (последствий), которые вполне безопасно можно проигнорировать. При выявлении критических рисков, сценарии, приводящие к рискам выше этой границы, считаются неприемлемыми.

На карте они обозначены и . Клетки представляют сочетания, которые требуют пристального внимания и регулярной переоценки в будущем. По выявленным неприемлемым (непереносимым) рискам требуется понять, как уменьшить или передать такие риски, в то время как риски ниже границы являются управляемыми в рабочем порядке. Управлению рисками соответствует перемещение точек по плоскости. Обычно стремятся приблизиться к началу координат вдоль одной оси, не меняя значения другой координаты. Впрочем, если удастся уменьшить сразу обе координаты, это будет еще лучше. На самом деле, в зависимости от целей построения можно построить много разных видов карт риска или вариаций данной карты риска.

Реестр и составленные на его основе карты рисков являются основной информационной базой для принятия решений по дальнейшей обработке рисков. Для возможно более точной оценки риска существенное значение имеет учет полной группы факторов, определяющих риск. Совокупность факторов риска должна отражать все условия внешней и внутренней среды организации, порождающие возможные коррупционные риски.

Карта рисков составлена, теперь необходимо разработать мероприятия по нейтрализации тех рисков, которые оказались выше границы толерантности. На основании Карт подразделений эксперты (консультанты) совместно с заинтересованными подразделениями и специалистами организации в течение 10 рабочих дней составляют "Реестр неприемлемых рисков организации (подразделения)". Рабочая группа должна определить, следует ли оставить все как есть и не применять никаких дополнительных действий или разработать новый план действий по управлению рисками, если не устраивают их последствия. В результате проведенных мероприятий можно уменьшить вероятность риска , уменьшить вероятность потерь , либо изменить последствия риска.

Цель составления плана действий заключается в том, чтобы уяснить, как переместить каждый непереносимый риск левее – ниже в терпимую зону. Следует отметить, что необходимо соотносить затраты на такое перемещение с выгодами от него. Предлагаемые меры управления неприемлемыми рисками должны предварительно быть проанализированы на предмет наличия новых опасностей и связанных с ними рисков. Степень допустимости риска зависит от важности для каждого субъекта риска, а также их целей и ожиданий. Выбирается способ воздействия на риск. Например, если риск был определен как недопустимый, то разрабатывается вариант его смягчения. Если он не приводит к снижению уровня риска до приемлемого, то используется вариант уклонения. При невозможности передать риск он подлежит принятию с обязательным резервированием средств на случай непредвиденных обстоятельств.

С точки зрения технологии управления риском с построением карты рисков процесс управления не завершается, а только начинается. Более того, карта риска – это "живой организм", который реагирует на принимаемые решения и выполняемые операции. Она живет и развивается с развитием организации, вместе с новыми возможностями появляются новые риски, некоторые из старых рисков утрачивают актуальность и становятся незначимыми, несущественными для организации. Поэтому важно, чтобы процесс картографирования риска, уточнения карты был встроен в действия организации. Это позволит проводить актуализацию рисков организации с той периодичностью, которая необходима. Обычно срок "плановой актуализации" составляет год, иногда ее привязывают к определенным циклам (сезонным, календарным) если они имеют место в деятельности организации. Однако при появлении даже слабых сигналов о событиях, которые могут сильно повлиять на объекты риска организации, следует оценить их влияние на карту рисков организации вне всякой периодичности. Важно понять, что ценность карты рисков состоит не в определении точного размера вероятности или ущерба от рисков, а в относительном расположении одной угрозы относительно другой и в их расположении относительно границы приемлемости.

Таким образом, картографирование риска является универсальным аналитическим инструментом для того, чтобы разобраться в финансовых рисках хозяйствующих субъектов, расположить их по значимости, и подготовить мероприятия по их минимизации.

• URL: iemag.ru/master-class/detail.php?ID=15716