Утверждено
Советом директоров ПАРТАД
(протокол N 06/2011 от 21.09.2011)
Согласовано
ФСФР России
(исх. N 11-СХ-02/29590 от 16.11.2011)
РУКОВОДСТВО
ПО СОЗДАНИЮ (СОВЕРШЕНСТВОВАНИЮ) СИСТЕМЫ МЕР УПРАВЛЕНИЯ
РИСКАМИ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
1. Общие положения
Руководство по созданию (совершенствованию) системы мер управления рисками деятельности по ведению реестра (далее - Руководство) определяет основные принципы организации, реализации и контроля процессов управления рисками в организации. Руководством определены первоочередные действия по выстраиванию системы мер управления рисками.
Управление рисками деятельности по ведению реестра в соответствии с данным Руководством позволит снизить возможные потери, как самой организации, так и ее клиентов. Реализация рисков регистраторской деятельности может создавать угрозу финансовой устойчивости организации, а также оказывать негативное влияние на состояние учетной системы и финансового рынка в целом.
В соответствии с Руководством профессиональный участник, осуществляющий деятельность по ведению реестра, определяет цели и задачи управления рисками, принципы и требования к функционированию системы управления рисками, организационную структуру управления рисками, принципы финансирования системы мер управления рисками, ключевые индикаторы риска.
Управление рисками осуществляется должностным лицом - руководителем подразделения управления рисками. Система мер управления рисками может являться частью системы внутреннего контроля организации. В этом случае управление рисками возлагается на контролера организации, либо на структурное подразделение под руководством контролера. Организации рекомендуется оценить целесообразность создания подразделения (назначения дополнительного сотрудника), отвечающего за координацию и централизацию управления операционными рисками.
Порядок взаимодействия службы управления рисками и службы внутреннего контроля определяется соответствующим регламентом, утвержденным руководителем организации.
Руководство разработано на основе изучения и обобщения сложившейся практики управления рисками учетных институтов, типовых нарушений, выявляемых в ходе проверок регистраторов, судебной практики, практики страхования и урегулирования убытков учетных институтов, международных требований к управлению операционными рисками, учитывает положения концептуальных основ управления рисками, в том числе рекомендации Базельского комитета по банковскому надзору.
Документ предназначен для руководителей и специалистов всех уровней управления организации, ее структурных подразделений, филиалов, а также других участников процессов управления рисками и заинтересованных сторон.
Представленные в данном Руководстве перечни документов, методика оценки рисков, классификатор рисков деятельности по ведению реестра, перечень ключевых индикаторов рисков предлагаются к использованию всеми организациями, осуществляющими деятельность по ведению реестра владельцев именных ценных бумаг (далее - организация), формирующими систему мер управления рисками. При этом, организация вправе самостоятельно разрабатывать соответствующие документы и/или использовать уже утвержденные ее внутренние документы по управлению рисками, в том случае, если они позволяют достичь результатов, соответствующих требованиям данного Руководства.
Система мер управления рисками деятельности по ведению реестра конкретной организации, созданная до принятия настоящего Руководства, должна быть оформлена внутренними документами организации, регламентирующими деятельность по управлению рисками, содержать формы отчетности службы управления рисками, документы, подтверждающие эффективность ее функционирования и поясняющие соответствие применяемой системы мер управления рисками деятельности по ведению реестра требованиям настоящего Руководства.
2. Основные термины, определения и сокращения
Владелец риска - руководитель подразделения, на стратегические или операционные цели которого оказывает прямое влияние данный риск. Владелец риска отвечает за идентификацию, оценку и мониторинг управления риском и назначается руководителем организации.
Внутренний контроль - контроль за соответствием деятельности организации требованиям законодательства Российской Федерации о рынке ценных бумаг, в том числе нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг, законодательства Российской Федерации о защите прав и законных интересов инвесторов на рынке ценных бумаг, законодательства Российской Федерации о рекламе, а также соблюдением внутренних документов профессионального участника, связанных с его деятельностью на рынке ценных бумаг.
Классификатор рисков - перечень рисков с ключевой информацией по ним, которые далее могут быть конкретизированы посредством детализации информации об объектах, подверженных данным рискам, субъектах влияния рисков, сроках, нормативных актах, проектах, контрагентах и другой релевантной информацией, дающей полное понимание рассматриваемой рисковой области.
Ключевые индикаторы рисков (КИР) - количественные или качественные показатели источников (факторов) риска. Данные показатели характеризуют концентрацию рисков, в том числе накопившиеся негативные события в соответствующем подразделении организации.
Координатор системы мер управления рисками (СУР) - сотрудник функционального подразделения/службы, ответственный за мониторинг и предоставление информации по операционным рискам руководителю управления рисками.
Матрица рисков деятельности по ведению реестра - таблица, используемая для оценки уровня указанных в ней групп рисков.
Операционный риск - риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, противоправными действиями либо с внешними событиями (согласно решению Базельского комитета по банковскому надзору - Section 644, Basel II, 2004 г.).
Паспорт риска - документ, содержащий необходимую информацию о риске, включая источник риска, владельца риска, мероприятия по управлению риском, процедуры реагирования, КИР.
Последствия риска - события, которые наиболее вероятно наступят после реализации риска. Последствия риска выражаются во влиянии на эффективность и сроки исполнения задач, финансовый результат, репутацию, надежность предоставления услуг, человеческие ресурсы и другие факторы достижения стратегических и операционных целей организации.
Руководитель подразделения управления рисками - лицо, ответственное за координацию процессов управления рисками организации и его филиалов, в частности, сбор и актуализацию информации о рисках, консультирование владельцев рисков по методологии управления рисками, обеспечение информацией заинтересованных сторон.
Система мер управления рисками (СУР) - совокупность процессов, методик, информационных систем, направленных на достижение целей и задач управления рисками. Система мер управления рисками регистратора должна соответствовать виду деятельности и характеру операций, а также должна включать механизм мониторинга рисков, обеспечивающий своевременное доведение информации до сведения органов управления организации.
Страховая сумма (лимит ответственности) - размер денежных средств, указанный в договоре страхования (полисе), в пределах которого страховщик несет ответственность перед страхователем.
Субъекты внутреннего контроля - Совет директоров, Генеральный директор (Правление), подразделение внутреннего контроля, служба управления рисками, а также подразделения и сотрудники организации и филиалов, ответственные за выполнение закрепленных за ними (внутренними документами организации) функций внутреннего контроля и управления рисками.
Целевые показатели по ограничению рисков - показатели, рассчитанные на основе статистических данных за предыдущий отчетный период деятельности организации, определяющие допустимый уровень риска.
3. Система мер управления рисками (СУР)
СУР включает в себя цели, задачи, принципы, приоритетные области в управлении рисками, классификатор рисков деятельности по ведению реестра.
3.1. Цели и задачи СУР
Цели и задачи СУР представлены в таблице 1.
Таблица 1. Цели и задачи СУР
┌───────────────────┬─────────────────────────────────────────────────────┐ │ Цели │ Задачи │ ├───────────────────┼─────────────────────────────────────────────────────┤ │Обеспечение │- Идентификация и оценка событий, влияющих на│ │гарантии достижения│ достижение стратегических целей; │ │стратегических │- Обеспечение превентивных мероприятий по│ │целей │ минимизации вероятности и негативного влияния│ │ │ рисков на цели; │ │ │- Стратегическое планирование с учетом рисков; │ │ │- Своевременное информирование руководителя│ │ │ организации и заинтересованных сторон о наличии│ │ │ угроз и возможностей. │ ├───────────────────┼─────────────────────────────────────────────────────┤ │Сохранение активов│- Выявление, оценка и управление рисками│ │и поддержание│ деятельности по ведению реестра; │ │эффективности │- Обеспечение информацией о рисках при принятии│ │бизнеса │ управленческих решений; │ │ │- Формирование Матрицы рисков деятельности по│ │ │ ведению реестра; │ │ │- Создание и управление системой ключевых│ │ │ индикаторов риска (КИР) и целевых показателей по│ │ │ ограничению рисков; │ │ │- Предупредительные мероприятия в отношении│ │ │ противоправных действий. │ ├───────────────────┼─────────────────────────────────────────────────────┤ │Обеспечение │- Формирование программ реагирования на рисковые│ │непрерывности │ ситуации; │ │ведения реестра │- Регламентирование процессов локализации│ │ │ последствий рисковых событий; │ │ │- Координация, обеспечение и оценка эффективности│ │ │ своевременного реагирования на чрезвычайные│ │ │ ситуации; │ │ │- Использование дополнительных источников│ │ │ финансирования расходов возможных убытков и их│ │ │ последствий (страхование деятельности и/или│ │ │ отчисления в компенсационный фонд). │ └───────────────────┴─────────────────────────────────────────────────────┘
3.2. Принципы и требования к функционированию СУР
СУР организации создается в соответствии со следующими принципами:
- управление рисками осуществляется, исходя из поставленных на уровне стратегии развития организации целей, а также целей конкретных процессов и функций;
- управление рисками осуществляется на постоянной основе, на всех этапах проведения операций в реестрах;
- решения о минимизации рисков принимаются на различных уровнях управления организации в зависимости от значимости рисков;
- в процесс управления рисками организации вовлечены руководители и сотрудники структурных подразделений;
- наличие в организации формализованного процесса управления рисками (регламенты, должностные инструкции);
- осуществление контроля (административного и финансового) за соблюдением установленных в организации процедур, в соответствии с требованиями документов, регламентирующих СУР организации;
- информационное обеспечение СУР осуществляется с использованием единого маршрута движения информации:
а) движение информации о рисках для принятия решений осуществляется от более низких уровней управления к более высоким;
б) решения по минимизации рисков, а также контроль управления рисками распространяется от более высоких уровней управления к более низким.
СУР разрабатывается и функционирует в соответствии со следующими требованиями:
1. Наличие подразделения и/или должностного лица по управлению рисками.
2. Наличие регламента деятельности подразделения и/или должностного лица по управлению рисками.
3. Наличие методики оценки рисков деятельности по ведению реестра.
4. Наличие разработанного классификатора рисков деятельности по ведению реестра.
5. Ведение базы данных по группам рисков деятельности по ведению реестров, а также наличие первичных документов для ведения базы данных (например, Паспорт риска).
6. Наличие плана мероприятий организации по управлению рисками деятельности по ведению реестра.
7. Составление с установленной периодичностью отчетности по рискам деятельности по ведению реестра.
8. Утверждение показателей контроля эффективности управления рисками деятельности по ведению реестра (например, ключевые индикаторы риска).
9. Наличие договора страхования деятельности по ведению реестра, отвечающего Условиям регистрации договоров страхования регистраторов - членов ПАРТАД.
3.3. Классификатор рисков деятельности по ведению реестра
Ключевым основанием для классификации рисков организации являются ее функциональные области деятельности. Для упрощения идентификации рисков предлагается использовать примерный Классификатор рисков деятельности по ведению реестра (приложение 1).
Риски деятельности по ведению реестра рекомендуется классифицировать на случаи убытков вследствие:
- ошибок и/или ненадлежащего исполнения обязанностей сотрудниками;
- противоправных действий сотрудников и/или третьих лиц (включая электронные и компьютерные преступления);
- сбоев, повреждений электронного и/или компьютерного оборудования, программного обеспечения;
- гибели, повреждения документов и архива в результате затопления, пожара и т.д.;
- ненадлежащих действий клиентов и/или контрагентов регистратора/депозитария;
- неоднозначной и/или недостаточной правовой базы для осуществления профессиональной деятельности (правовые риски).
3.4. Методика оценки уровня рисков деятельности по ведению реестра
Предлагаемая методика оценки рисков деятельности по ведению реестра (далее - Методика) основана на балльно-весовом методе заполнения Матрицы рисков деятельности по ведению реестра. В рамках применяемого балльно-весового метода выделяются группы рисков и определяются их относительные значимости - присваиваются весовые коэффициенты (таблица 2).
В соответствии с примерным Классификатором рисков деятельности по ведению реестра, риски группируются в зависимости от масштабов потерь при их реализации и последующих убытков. В данной Методике оценка рисков осуществляется по 3-ступенчатой шкале, в которой каждой группе рисков присваивается коэффициент риска (ГРi): 3 - максимальный, 2 - средний, 1 - минимальный. В дальнейшем возможна детализация рисков и, соответственно, использование шкалы с коэффициентом, например, от 1 до 5 и т.д.
Таблица 2. Группировка рисков деятельности по ведению
реестра в зависимости от тяжести последствий их реализации
┌─────────────────────────────────────────────────────┬───────────────────┐ │ Группа риска │ Коэффициент риска │ ├─────────────────────────────────────────────────────┼───────────────────┤ │1. Противоправные действия сотрудников и третьих лиц │ 3 │ │ (включая электронные и компьютерные преступления) │ │ ├─────────────────────────────────────────────────────┼───────────────────┤ │2. Риски регулирования │ 3 │ ├─────────────────────────────────────────────────────┼───────────────────┤ │3. Ошибка и/или ненадлежащее исполнение обязанностей │ 2 │ │ персоналом │ │ ├─────────────────────────────────────────────────────┼───────────────────┤ │4. Сбои, повреждения электронного и/или компьютерного│ 2 │ │ оборудования, программного обеспечения │ │ ├─────────────────────────────────────────────────────┼───────────────────┤ │5. Риски клиентов и контрагентов │ 2 │ ├─────────────────────────────────────────────────────┼───────────────────┤ │6. Правовые риски │ 2 │ ├─────────────────────────────────────────────────────┼───────────────────┤ │7. Гибель, повреждение документов и архива в │ 1 │ │ результате затопления, пожара и т.д. │ │ └─────────────────────────────────────────────────────┴───────────────────┘
Для построения Матрицы рисков деятельности по ведению реестра необходимо учитывать вероятность реализации той или иной группы рисков. В случае отсутствия выявленных нарушений, сбоев, ошибок, противоправных действий по соответствующей группе рисков, указанной группе присваивается коэффициент вероятности их реализации 0,1 (минимальная вероятность), при однократном выявлении - 1 (средняя вероятность), при более чем однократном - 2 (высокая вероятность). Элементы Матрицы рисков заполняются на основании данных Паспорта рисков (приложение 2), либо иных исходных документов.
Для формирования Матрицы рисков деятельности по ведению реестра используется формула 1:
, (1)
Где:
- уровень риска по группе i;
- коэффициент риска;
- коэффициент вероятности.
Таблица 3. Матрица рисков деятельности по ведению реестра
┌──────────────────────────┬─────┬───────────────┬────────────┬───────────┐ │ Группа риска/количество │ ГРi │ Отсутствует │Однократное │ Выявлено │ │ выявленных событий по │ │ │ выявление │ более │ │ группам рисков │ │ │ │ одного │ │ │ │ │ │ события │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │ В │ │ 0,1 │ 1 │ 2 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │1. Противоправные │ 3 │ 0,3 │ 3 │ 6 │ │ действия сотрудников и │ │ │ │ │ │ третьих лиц (включая │ │ │ │ │ │ электронные и │ │ │ │ │ │ компьютерные │ │ │ │ │ │ преступления) │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │2. Риски регулирования │ 3 │ 0,3 │ 3 │ 6 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │3. Ошибка и/или │ 2 │ 0,2 │ 2 │ 4 │ │ ненадлежащее исполнение│ │ │ │ │ │ обязанностей персоналом│ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │4. Сбои, повреждения │ 2 │ 0,2 │ 2 │ 4 │ │ электронного и/или │ │ │ │ │ │ компьютерного │ │ │ │ │ │ оборудования, │ │ │ │ │ │ программного │ │ │ │ │ │ обеспечения │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │5. Риски клиентов и │ 2 │ 0,2 │ 2 │ 4 │ │ контрагентов │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │6. Правовые риски │ 2 │ 0,2 │ 2 │ 4 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │7. Гибель, повреждение │ 1 │ 0,1 │ 1 │ 2 │ │ документов и архива в │ │ │ │ │ │ результате затопления, │ │ │ │ │ │ пожара и т.д. │ │ │ │ │ └──────────────────────────┴─────┴───────────────┴────────────┴───────────┘
После формирования Матрицы рисков выявляется зона максимального риска в деятельности организации и разрабатывается комплекс мероприятий по снижению рисков, в том числе:
- план мероприятий по модернизации, совершенствованию системы внутреннего контроля, службы управления рисками и/или соответствующих служб организации, выполняющих функции по обеспечению надежности осуществления деятельности организации;
- обоснование страхового лимита по договору страхования профессиональной деятельности;
- обоснование размеров ежегодных отчислений в компенсационный фонд.
4. Мониторинг рисков и информационное обеспечение системы мер управления рисками. План мероприятий по управлению рисками деятельности по ведению реестра
Процесс управления рисками деятельности по ведению реестра начинается с их идентификации в соответствии с Классификатором рисков и осуществляется на всех уровнях управления организации.
При идентификации риска определяется следующая информация:
- наименование риска;
- описание риска;
- источники риска;
- последствия риска;
- владелец риска и лицо, предоставляющее информацию по риску;
- ключевые индикаторы риска.
Полученная информация вносится в Паспорт риска (приложение 2) либо в иные внутренние документы регистратора. Мониторинг рисков заключается в контроле над уровнем риска. Это достигается путем актуализации на регулярной основе (ежеквартально) информации о рисках (в т.ч. сведений о претензиях, результатах проверок и т.д.), о мероприятиях по управлению рисками, о статусе выполнения мероприятий, а также мониторингом значений ключевых индикаторов риска (КИР). Отслеживание КИР всех подразделений организации выполняется подразделением управления рисками и/или службой внутреннего контроля на регулярной основе, в зависимости от значимости рисков и уровня принятия решения об управлении риском.
Результаты мониторинга рисков должны содержаться в виде базы данных, реализованной на любой информационной платформе (в т.ч. средствами MS Office). База данных о рисках представляет собой полный спектр связанной информации, которая может быть представлена в виде перечня рисков и Паспорта каждого из рисков.
Информация о рисках используется в процессе принятия решений. Данный принцип означает, что информация о рисках, их величине, текущих и возможных мероприятиях по управлению рисками доступна и может быть предоставлена по первому требованию (при наличии обоснования использования такой информации) любому должностному лицу организации в рамках его компетенции.
Порядок внесения информации и ведения базы данных по рискам разрабатывается руководителем подразделения управления рисками и утверждается руководителем организации. Принятие решения о степени и глубине автоматизации процесса управления рисками остается на усмотрение руководителя организации.
На основе проведения мониторинга рисков разрабатывается годовой План мероприятий по управлению рисками деятельности по ведению реестра (Приложение 3), Целевые показатели по ограничению рисков деятельности по ведению реестра (Приложение 4).
План мероприятий содержит наименование мероприятия, ответственное лицо и подразделение, срок исполнения и/или периодичность и т.д.
Целевые показатели организации по ограничению рисков могут быть соотнесены с КИР: например, отклонение (невыполнение) плана по тем или иным целевым показателям деятельности организации может рассматриваться в качестве КИР.
5. Распределение полномочий и ответственности за эффективное функционирование системы мер управления рисками деятельности по ведению реестра
5.1. Уровни управления рисками
Управление рисками в организации должно быть многоуровневым и делится, согласно уровням организационного управления организации, как правило, следующим образом:
- уровень Совета директоров организации;
- уровень Правления либо Генерального директора организации;
- уровень линейного менеджмента (руководители структурных подразделений).
Для каждого из уровней СУР существует порог принятия решения, который является предельной величиной риска, при превышении которой принятие решения по управлению риском передается на следующий вышестоящий уровень.
5.2. Организационная структура управления рисками
Организационная структура управления рисками соответствует уровням управления организации.
В организации функции по координации процессов управления рисками, сбору информации, консультированию владельцев рисков по методологии управления рисками осуществляет руководитель подразделения по управлению рисками, а также координаторы СУР в составе соответствующих подразделений (внутреннего контроля, юридической службы, финансовой службы, IT подразделения, службы безопасности, аудита и т.д.). В филиалах организации назначаются ответственные за сбор информации по рискам - координаторы СУР.
Координаторы СУР и руководитель подразделения управления рисками организации осуществляют свою деятельность на основе единых подходов и методик. Координаторы управления рисками в филиалах функционально подотчетны руководителю службы управления рисками организации.
5.3. Роли и ответственность участников СУР
Роли и ответственность распределяются в СУР следующим образом:
Генеральный директор (Правление) организации определяет:
- состав, порядок и сроки разработки внутренних документов организации в области управления рисками;
- распределяет полномочия между структурными подразделениями в сфере управления рисками;
- обеспечивает разграничение должностных обязанностей и их исполнение на всех уровнях;
- обеспечивает принятие необходимых управленческих решений для реализации СУР организации.
Ответственность за эффективность СУР несет Генеральный директор (Правление) организации.
Ответственность за решение кросс-функциональных (межпроцессных или выполняемых одновременно несколькими функциональными подразделениями) задач по управлению рисками, а также формирование бюджетов на мероприятия по управлению рисками также несет Генеральный директор (Правление) организации.
Руководитель подразделения управления рисками обеспечивает:
- разработку и/или апробацию методики оценки и проведение оценки риска;
- определение основных групп рисков в деятельности организации;
- ведение информационной базы по рискам;
- заполнение Матрицы рисков организации;
- подготовку отчетности по СУР;
- выполнение плана мероприятий по управлению рисками;
- разработку предложений по снижению вероятности реализации того или иного вида риска (совместно со структурными подразделениями);
- проведение экспертиз рисков в проектах развития организации;
- контроль организации работы по снижению уровня разных видов рисков;
- проведение проверок соблюдения требований в управлении рисками со стороны подразделений организации, координаторов рисков в филиалах;
- пересмотр на регулярной основе существующих внутренних процессов и процедур, используемых информационно-технологических систем с целью выявления не учтенных ранее источников риска.
Ответственность за своевременное выявление, оценку рисков, разработку и выполнение мероприятий, мониторинг рисков, а также за своевременное и полное обеспечение информацией о рисках всех заинтересованных участников СУР несет руководитель подразделения управления рисками.
Координаторы СУР обеспечивают:
- выявление и оценку рисков соответствующего подразделения;
- исполнение мероприятий в соответствии с Планом мероприятий по СУР;
- своевременную передачу информации о рисках и мероприятиях по управлению ими руководителю подразделения управления рисками;
- фиксацию и передачу информации о реализовавшихся рисках в соответствующем подразделении.
5.4. Принципы финансирования СУР
При обосновании и планировании бюджета при организации (или совершенствовании) СУР необходимо учитывать, что финансирование должно быть направлено как на снижение рисков деятельности (повышение квалификации сотрудников, создание и ведение информационных баз данных; материально-техническое обеспечение и т.д.), так и на уменьшение финансовых последствий при реализации рисков.
Для снижения уровня финансовых последствий для организации, на случай реализации рисков деятельности по ведению реестра, помимо собственных средств, для покрытия возможных убытков могут быть использованы:
- комплексное страхование профессиональной деятельности регистратора (в соответствии с Программой разработки и внедрения системы мер снижения рисков, связанных с профессиональной деятельностью организаций - членов ПАРТАД, утвержденной решением Совета директоров ПАРТАД (протокол N 07/2006 от 19.10.2006));
- участие в компенсационных фондах СРО (по мере принятия соответствующих решений Советом директоров ПАРТАД).
На основании Матрицы рисков деятельности по ведению реестра по формуле 2 рассчитывается K(риск)орг - показатель уровня рисков в организации,
, (2)
где:
- суммарное значение уровней рисков по всем группам (за исключением риска регулирования и правового риска), выявленных в организации;
N - число выявленных рисков (за исключением риска регулирования и правового риска).
Для определения необходимого страхового лимита (таблица 4) показатель уровня рисков в организации сравнивается с минимальным, среднеотраслевым и критическим значениями уровня рисков деятельности по ведению реестра. В соответствии с Матрицей рисков деятельности по ведению реестра (табл. 3), минимальный уровень риска деятельности по ведению реестра (без учета рисков регулирования и правовых рисков) составляет K(риск)min = 0,2, а максимальный - K(риск)max = 4.
Среднеотраслевой уровень риска деятельности по ведению реестра, в соответствии с экспертной оценкой, составляет: K(риск)industry = 1,7.
В том случае, если уровень риска организации превышает 3 балла (например, зафиксирована попытка противоправного действия, а ошибки сотрудников, сбои, повреждения программного обеспечения, риски контрагентов были обнаружены более одного раза за отчетный период), необходимо применять максимальные требования к лимиту ответственности по договору страхования рисков деятельности по ведению реестра.
Таблица 4. Шкала для расчета лимита страхования по договору
страхования деятельности по ведению реестра
┌────────────┬──────────────────────┬─────────────────────┬───────────────┐ │ │0,2 < K(риск)орг < 1,7│1,7 < K(риск)орг < 3 │K(риск)орг > 3 │ ├────────────┼──────────────────────┼─────────────────────┼───────────────┤ │лимит │не менее │не менее │не менее │ │страхования │2 500 000 руб. │5 000 000 руб. │10 000 000 │ │ │ │ │руб. │ └────────────┴──────────────────────┴─────────────────────┴───────────────┘
Лимит страхования может быть скорректирован в зависимости от средней суммы одной сделки, среднего количества передаточных распоряжений за период, степени использования электронного документооборота и т.д.
В случае необходимости выдачи организации ходатайства СРО о снижении норматива достаточности собственных средств путем зачета страхового лимита по договору страхования профессиональной деятельности минимальный размер лимита должен быть увеличен с учетом необходимого для выдачи ходатайства страхового лимита.
6. Отчетность по рискам
6.1. Документы СУР деятельности по ведению реестра
Разработка документов СУР организации должна осуществляется на основе требований Руководства и не противоречить ему. В таблице 5 представлен рекомендуемый перечень документации СУР и ее назначение.
Таблица 5. Перечень документов СУР
┌──────────────────┬──────────────────────────────────────────────────────┐ │ Документ │ Назначение документа │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Основные принципы│Документ определяет цели и задачи управления рисками,│ │организации, │принципы и требования к функционированию системы│ │реализации и│управления рисками, организационную структуру│ │контроля процессов│управления рисками, принципы финансирования системы│ │управления рисками│мер управления рисками; ключевые индикаторы риска. │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Регламент │Документ, регламентирующий сферы деятельности│ │деятельности │подразделения и или должностного лица, включая: │ │подразделения │разработку и/или апробацию методики оценки и│ │и/или должностного│проведение оценки риска; │ │лица по управлению│определение основных групп рисков в деятельности│ │рисками │организации; │ │деятельности по│ведение информационной базы по рискам; │ │ведению реестра │заполнение Матрицы рисков организации; │ │ │подготовку отчетности по системе мер управления│ │ │рисками; │ │ │выполнение плана мероприятий по управлению рисками; │ │ │контроль организации работы по снижению степени│ │ │разных видов рисков; │ │ │проведение проверок соблюдения требований в│ │ │управлении рисками со стороны подразделений│ │ │организации и т.д. │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Методика оценки│Описание подходов и методик проведения процедур│ │уровня рисков│идентификации, оценки рисков, разработки мероприятий│ │деятельности по│по управлению рисками. │ │ведению реестра │ │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Отчетные формы по│Формы предоставления информации о рисках от│ │управлению рисками│подразделений, а также формы отчетности по рискам для│ │ │заинтересованных сторон. │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Годовой план│Содержит наименование мероприятия, целевые│ │мероприятий по│показатели, ответственное лицо и подразделение,│ │системе мер│ответственное за выполнение мероприятия; срок│ │снижения рисков │исполнения и/или периодичность и т.д. (Приложение 3). │ ├──────────────────┼──────────────────────────────────────────────────────┤ │Целевые показатели│Запланированный уровень допустимых значений│ │ограничения рисков│реализации операционных рисков (Приложение 4). │ └──────────────────┴──────────────────────────────────────────────────────┘
Помимо перечисленных в таблице 5 документов, организации следует разработать Регламент по управлению рисками, содержащий описание распределения полномочий, порядка сбора информации, ведения информационной базы, предоставления отчетности, ответственных по проведению процедур в рамках системы управления рисками.
6.2. Протоколы и отчеты
Отчетность СУР должна обеспечивать решение задач управления рисками и предназначена для полноценного и прозрачного обмена информацией о рисках и информирования о них должностных лиц организации.
В таблице 6 представлен рекомендуемый перечень отчетных документов и их назначение.
Таблица 6. Отчетные документы СУР
┌─────────────────┬──────────────┬────────────────────────────────────────┐ │ Отчетный │ Заполняет │ Назначение документа │ │ документ │ │ │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Классификатор │Руководитель │Перечень рисков с ключевой информацией│ │рисков │подразделения │по ним, которые далее могут быть│ │ │управления │конкретизированы посредством│ │ │рисками │детализации информации об объектах,│ │ │ │подверженных данным рискам, субъектах│ │ │ │влияния рисков, сроках, нормативных│ │ │ │актах, проектах, контрагентах и другой│ │ │ │релевантной информацией, дающей полное│ │ │ │понимание рассматриваемой рисковой│ │ │ │области. │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Паспорт риска │Подразделения │Документ, описывающий всю необходимую│ │ │(руководители │информацию по риску (Приложение 2). │ │ │подразделений)│ │ │ │совместно с│ │ │ │Руководителем │ │ │ │подразделения │ │ │ │управления │ │ │ │рисками (при│ │ │ │необходимости)│ │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Матрица рисков │Руководитель │Текстовое описание и оценка│ │ │подразделения │ограниченного числа рисков организации,│ │ │управления │образующее прямоугольную таблицу. │ │ │рисками │ │ ├─────────────────┼──────────────┼────────────────────────────────────────┤ │Ежеквартальный │Руководитель │Отчет содержит результаты выполнения│ │отчет выполнения│подразделения │мероприятия, достижения целевых│ │Плана │управления │показателей. В случае невыполнения│ │мероприятий СУР │рисками │Плана мероприятий СУР должны быть│ │ │ │даны пояснения о причинах. │ └─────────────────┴──────────────┴────────────────────────────────────────┘
6.3. Оценка эффективности управления рисками и ключевые индикаторы риска деятельности по ведению реестра
Оценка эффективности управления рисками в организации осуществляется на основании:
- анализа динамики изменения оценки рисков;
- анализа целостности и полноты действий по снижению рисков;
- динамики изменения ключевых индикаторов риска;
- анализ затрат на финансирование СУР, фактических убытков от реализации рисков, возможных предотвращенных убытков за счет применения СУР.
КИР представляет собой показатель, характеризующий фактор (источник) риска, при этом, в общем случае, не являясь его оценкой. Примером КИР может служить количество (либо доля в общей массе событий) отказов техники, сбоев программного обеспечения, задержек исполнения операций, судебных исков, негативных публикаций в прессе и т.п. за период.
КИР разрабатываются руководителем службы управления рисков и координаторами СУР и утверждаются Генеральным директором (Правлением). Контроль над корректностью расчета КИР осуществляют подразделения внутреннего контроля и службы управления рисками. Примерный перечень КИР для деятельности по ведению реестра представлен в Приложении 5.
После выбора КИР организации следует провести их тестирование, например, с помощью системы внутренних рейтингов (путем присвоения баллов от 1 до 5). Индикаторы, относящиеся к определенному подразделению, оцениваются сотрудниками именно этого подразделения. Индикаторы, набравшие средний балл менее 4, предлагается исключать из дальнейшего анализа.
В результате проведенного анализа индикаторов для каждого вида риска определяются 1 - 2 КИРа, для которых определяются пороговые значения. Для мониторинга каждого КИР должно быть назначено ответственное лицо (руководитель подразделения или координатор СУР).
Приложение 1
ПРИМЕРНЫЙ КЛАССИФИКАТОР
РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
┌───────────────────┬──────────────────────────────────────────┬──────────┐ │ Группа риска │ Операция │ КИР │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │1. Ошибка и/или│ Ошибка и/или ненадлежащее исполнение│ │ │ненадлежащее │обязанностей персоналом Регистратора при│ │ │исполнение │приеме и проверке документов, являющихся│ │ │обязанностей │основанием для внесения записей в реестр,│ │ │персоналом. │повлекшие одно из следующих событий: │ │ │ │1. отсутствие факта перехода прав│ │ │ │ собственности на ценные бумаги,│ │ │ │ приобретенные либо отчужденные по│ │ │ │ распоряжению зарегистрированного лица│ │ │ │ (его уполномоченного представителя). │ │ │ │2. списание большего количества ценных│ │ │ │ бумаг, чем количество, указанное в│ │ │ │ передаточном распоряжении│ │ │ │ зарегистрированного лица либо ином│ │ │ │ документе, являющимся согласно│ │ │ │ действующему законодательству│ │ │ │ основанием для внесения в реестр записи│ │ │ │ о переходе права собственности на│ │ │ │ ценные бумаги. │ │ │ │3. списание ценных бумаг с лицевого│ │ │ │ счета недееспособного, ограниченно│ │ │ │ дееспособного или несовершеннолетнего│ │ │ │ лица без согласия органов опеки и│ │ │ │ попечительства, законных представителей│ │ │ │ и/или попечителей. │ │ │ │4. зачисление меньшего количества ценных│ │ │ │ бумаг, чем количество, указанное в│ │ │ │ документах, предоставленных│ │ │ │ Регистратору. │ │ │ │5. списание ценных бумаг с лицевого│ │ │ │ счета без волеизъявления│ │ │ │ зарегистрированного лица (его│ │ │ │ уполномоченного представителя) либо│ │ │ │ лиц, имеющих на это право в│ │ │ │ соответствии с действующим│ │ │ │ законодательством. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Ошибка и/или ненадлежащее исполнение│ │ │ │обязанностей персоналом Регистратора при│ │ │ │формировании исходящих документов и│ │ │ │выдаче документов зарегистрированным│ │ │ │лицам │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Непреднамеренные действия (ошибки,│ │ │ │упущения, небрежность) работников│ │ │ │Регистратора, связанные с применением│ │ │ │электронного документооборота при│ │ │ │осуществлении профессиональной│ │ │ │деятельности, включая неисполнение или│ │ │ │ненадлежащее исполнение установленного│ │ │ │порядка доставки/получения электронных│ │ │ │документов в отношении: │ │ │ │ 1. отправки электронного документа, │ │ │ │ 2. проверки электронного документа на│ │ │ │целостность, подлинность и соответствие│ │ │ │Форматам, │ │ │ │ 3. подтверждения получения электронного│ │ │ │документа, │ │ │ │ 4. отзыва электронного документа, │ │ │ │ 5. регистрации исходящих электронных│ │ │ │документов, │ │ │ │ 6. регистрации входящих электронных│ │ │ │документов, │ │ │ │ 7. ведения журналов учета и архива│ │ │ │регистрации исходящих электронных│ │ │ │документов │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │2. Противоправные │Внесение в реестр записи о переходе прав│ │ │действия │собственности на ценные бумаги на│ │ │сотрудников и│основании документов, содержащих│ │ │третьих лиц│поддельные подписи и/или печати и/или│ │ │(включая │умышленно внесенные искаженные сведения │ │ │электронные и├──────────────────────────────────────────┼──────────┤ │компьютерные │Уничтожение или похищение документов,│ │ │преступления). │являющихся основанием для внесения│ │ │ │изменений в реестр │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Электронные и компьютерные преступления. │ │ │ │Умышленные противоправные действия│ │ │ │внешних лиц: │ │ │ │- выразившиеся в несанкционированном│ │ │ │доступе к компьютерной системе│ │ │ │Регистратора с целью уничтожения,│ │ │ │изменения (искажения) электронных данных; │ │ │ │- ввод искаженных данных, модификация│ │ │ │информации в электронно-вычислительной│ │ │ │системе Регистратора или электронной│ │ │ │системе связи Регистратора с третьими│ │ │ │лицами; │ │ │ │- программное воздействие вредоносными│ │ │ │программами (компьютерными вирусами) на│ │ │ │программное обеспечение, компьютерную│ │ │ │технику, сетевое оборудование и/или линии│ │ │ │связи Регистратора, используемые при│ │ │ │осуществлении профессиональной│ │ │ │деятельности; │ │ │ │- повлекшие утерю (уничтожение)│ │ │ │электронных данных реестра, записанных на│ │ │ │носителях, которые являются│ │ │ │собственностью Регистратора; │ │ │ │- в период ранения этих электронных│ │ │ │данных на носители в пределах офисов или│ │ │ │помещений Регистратора; │ │ │ │ - во время записи электронных данных на│ │ │ │носители в пределах офисов или помещений│ │ │ │Регистратора. │ │ │ │ - в результате умышленного│ │ │ │противоправного изменения, уничтожения│ │ │ │или попытки уничтожения/изменения внешним│ │ │ │лицом информации, хранящейся в пределах│ │ │ │компьютерной системы Регистратора. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Электронный документооборот: │ │ │ │- умышленные, противоправные│ │ │ │ мошеннические действия работников│ │ │ │ Регистратора как в одиночку, так и в│ │ │ │ сговоре с внешними лицами с целью│ │ │ │ получения для себя незаконной финансовой│ │ │ │ (материальной) выгоды или причинения│ │ │ │ убытков Регистратору, повлекшие: │ │ │ │ - внесение Регистратором в реестр│ │ │ │ изменений в информацию лицевого счета │ │ │ │ о зарегистрированном лице, записей о│ │ │ │ переходе прав собственности на ценные│ │ │ │ бумаги, операций по поручению│ │ │ │ эмитента, записей о блокировании│ │ │ │ (прекращении блокирования) операций по│ │ │ │ лицевому счету, о залоге (прекращении│ │ │ │ залога) ценных бумаг и внесения в│ │ │ │ реестр изменений, касающихся перехода│ │ │ │ прав на заложенные ценные бумаги,│ │ │ │ записей о зачислении и списании ценных│ │ │ │ бумаг со счета номинального держателя│ │ │ │ на основании электронных документов с│ │ │ │ использованием поддельных│ │ │ │ (изготовленных в мошеннических целях│ │ │ │ дубликатов) или скомпрометированных│ │ │ │ Ключей ЭЦП; │ │ │ │ - совершение действий с целью│ │ │ │ уничтожения, копирования, изменения│ │ │ │ (искажения) данных, содержащихся в│ │ │ │ электронном документе; │ │ │ │- умышленные, противоправные│ │ │ │ мошеннические действия внешних лиц с│ │ │ │ целью получения для себя или иного лица│ │ │ │ незаконной финансовой (материальной)│ │ │ │ выгоды или причинения убытков│ │ │ │ Регистратору, повлекшие: │ │ │ │ - внесение Регистратором в реестр│ │ │ │ изменений в информацию лицевого счета│ │ │ │ о зарегистрированном лице, записей о│ │ │ │ переходе прав собственности на ценные│ │ │ │ бумаги, операций по поручению│ │ │ │ эмитента, записей о блокировании│ │ │ │ (прекращении блокирования) операций по│ │ │ │ лицевому счету, о залоге (прекращении│ │ │ │ залога) ценных бумаг и внесения в│ │ │ │ реестр изменений, касающихся перехода│ │ │ │ прав на заложенные ценные бумаги,│ │ │ │ записей о зачислении и списании ценных│ │ │ │ бумаг со счета номинального держателя│ │ │ │ на основании электронных документов с│ │ │ │ использованием поддельных│ │ │ │ (изготовленных в мошеннических целях│ │ │ │ дубликатов) или скомпрометированных│ │ │ │ Ключей ЭЦП; │ │ │ │ - совершение действий с целью│ │ │ │ уничтожения, копирования, изменения│ │ │ │ (искажения) данных, содержащихся в│ │ │ │ электронном документе. │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │3. Сбои, │Сбои (отказы, нарушения работы,│ │ │повреждения │технические ошибки) вычислительной│ │ │электронного и/или│(компьютерной) техники, программного│ │ │компьютерного │обеспечения, коммуникационных средств│ │ │оборудования, │связи, приведших к полной или частичной│ │ │программного │утрате (повреждению, искажению)│ │ │обеспечения │информации реестра. │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │4. Гибель, │Частичная или полная утрата (гибель,│ │ │повреждение │повреждение) архива Регистратора, в том│ │ │документов и архива│числе документов на бумажном носителе,│ │ │в результате│являющихся основанием для внесения│ │ │затопления, пожара│записей в реестр │ │ │и т.д. │ │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │5. Риски клиентов и│Невнесение Регистратором в реестр│ │ │контрагентов │изменений в информацию лицевого счета о│ │ │ │зарегистрированном лице, записей о│ │ │ │переходе прав собственности на ценные│ │ │ │бумаги, операций по поручению эмитента,│ │ │ │записей о блокировании (прекращении│ │ │ │блокирования) операций по лицевому счету,│ │ │ │о залоге (прекращении залога) ценных│ │ │ │бумаг и внесения в реестр изменений,│ │ │ │касающихся перехода прав на заложенные│ │ │ │ценные бумаги, записей о зачислении и│ │ │ │списании ценных бумаг со счета│ │ │ │номинального держателя. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Списание с лицевого (эмиссионного) счета│ │ │ │в реестре большего (меньшего) количества│ │ │ │ценных бумаг, чем количество ценных│ │ │ │бумаг, указанное в документах,│ │ │ │предоставленных Регистратору. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Зачисление на лицевой (эмиссионный) счет│ │ │ │большего (меньшего) количества ценных│ │ │ │бумаг, чем количество ценных бумаг,│ │ │ │указанное в документах, предоставленных│ │ │ │Регистратору. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Внесение Регистратором в реестр изменений│ │ │ │в информацию лицевого счета о│ │ │ │зарегистрированном лице, записей о│ │ │ │переходе прав собственности на ценные│ │ │ │бумаги, операций по поручению эмитента,│ │ │ │записей о блокировании (прекращении│ │ │ │блокирования) операций по лицевому счету,│ │ │ │о залоге (прекращении залога) ценных│ │ │ │бумаг и внесения в реестр изменений,│ │ │ │касающихся перехода прав на заложенные│ │ │ │ценные бумаги, записей о зачислении и│ │ │ │списании ценных бумаг со счета│ │ │ │номинального держателя без распоряжения│ │ │ │зарегистрированного лица (эмитента) (за│ │ │ │исключением проведения операций в реестре│ │ │ │на основании решения суда или в иных│ │ │ │случаях, предусмотренных действующим│ │ │ │законодательством РФ) при соблюдении│ │ │ │порядка оформления таких операций,│ │ │ │установленного законодательством РФ,│ │ │ │регулирующим профессиональную│ │ │ │деятельность Регистратора. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Невозможность осуществления│ │ │ │предусмотренных законодательством РФ прав│ │ │ │на ценные бумаги, а также прав,│ │ │ │закрепленных ценными бумагами. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Утрата информации, повлекшая│ │ │ │невозможность использования информации│ │ │ │(сведений) о праве на ценные бумаги и│ │ │ │сделки (операции) по ним. │ │ │ ├──────────────────────────────────────────┼──────────┤ │ │Убытки, причиненные в результате│ │ │ │проведения операций в реестре владельцев│ │ │ │именных ценных бумаг на основании│ │ │ │ненадлежащих (искаженных, умышленно│ │ │ │модифицированных, подписанных│ │ │ │неуполномоченными владельцами│ │ │ │сертификатов ключей, в т.ч. с│ │ │ │использованием поддельных или│ │ │ │скомпрометированных Ключей ЭЦП)│ │ │ │электронных документов либо нарушения│ │ │ │порядка и сроков обмена, обработки и/или│ │ │ │исполнения электронных документов. │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │6. Правовые риски │Убытки по причине того, что законы и/или│ │ │ │нормативно-правовые акты не обеспечивают│ │ │ │необходимой и/или однозначной правовой│ │ │ │базы для осуществления профессиональной│ │ │ │деятельности │ │ ├───────────────────┼──────────────────────────────────────────┼──────────┤ │7. Риски │Взыскания, штрафы в результате│ │ │регулирования │осуществления надзорных мероприятий│ │ │ │государственными органами, судебные иски. │ │ └───────────────────┴──────────────────────────────────────────┴──────────┘
Приложение 2
Паспорт риска
┌────────────┬────────┬────────────┬────────────┬───────────┬────────────┬──────────────────┐ │Наименование│Источник│ Владелец │Фиксирование│Последствия│ Процедуры │ КИР │ │ риска │ риска │риска и/или │ (дата │ риска │реагирования├─────────┬────────┤ │ Описание │ │ лицо, │ обнаружения│ │ │пороговое│зафикси-│ │ риска │ │поставляющее│ и размер │ │ │значение │рованное│ │ │ │информацию о│фактического│ │ │ │значение│ │ │ │ риске │ убытка или │ │ │ │ │ │ │ │ │ возможного │ │ │ │ │ │ │ │ │ убытка) │ │ │ │ │ ├────────────┼────────┼────────────┼────────────┼───────────┼────────────┼─────────┼────────┤ │ 1 │ 2 │ │ 3 │ │ 4 │ 5 │ 6 │ └────────────┴────────┴────────────┴────────────┴───────────┴────────────┴─────────┴────────┘
Приложение 3
Примерный план
мероприятий по системе мер снижения рисков
с 01.01.201_ по 31.12.201_
┌─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┐ │Наименование │Ответственное │Срок ис- │Фактический│Ожидаемый │ Ссылка на │ │ мероприятия │ лицо и │полнения │ срок │результат │ документы, │ │ │подразделение,│и/или │выполнения │ │подтверждающие │ │ │ответственное │периодич-│мероприятий│ │ факт │ │ │за выполнение │ность/ │ │ │ выполнения │ │ │ мероприятия │ │ │ │ мероприятий │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │I-й квартал │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │1. Разработка обязательных документов системы управления рисками │ │деятельности по ведению реестра │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │2. Разработка базы данных по рискам │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │3. Обучение, повышение квалификации персонала │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │4. Совершенствование системы внутреннего контроля │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │5. Совершенствование материально-технической базы │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │6. Страхование деятельности по ведению реестра │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┤ │7. Анализ ключевых показателей риска. Тестирование и выбор КИР, назначение │ │пороговых значений. │ ├─────────────┬──────────────┬─────────┬───────────┬──────────┬───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │I-й квартал │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │II-й квартал │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │III-й квартал│ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │IV-й квартал │ │ │ │ │ │ ├─────────────┼──────────────┼─────────┼───────────┼──────────┼───────────────┤ │ │ │ │ │ │ │ └─────────────┴──────────────┴─────────┴───────────┴──────────┴───────────────┘
Приложение 4
ПРИМЕРНЫЕ ЦЕЛЕВЫЕ ПОКАЗАТЕЛИ
ПО ОГРАНИЧЕНИЮ РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
┌──────────────────┬────────────┬─────────┬──────────┬──────────┬─────────┐ │ Наименование │Контрольный │I квартал│II квартал│ III │ IV │ │ показателя │показатель │ │ │ квартал │ квартал │ │ │(статисти- │ │ │ │ │ │ │ческие │ │ │ │ │ │ │данные за │ │ │ │ │ │ │предыдущий │ │ │ │ │ │ │период), шт.│ │ │ │ │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 1. Ошибка и/или│ 10 │ 5 │ 4 │ 3 │ 0 │ │ненадлежащее │ │ │ │ │ │ │исполнение │ │ │ │ │ │ │обязанностей │ │ │ │ │ │ │персоналом │ │ │ │ │ │ │Регистратора │ │ │ │ │ │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 2. Резервное │ 10 │ 20 │ 30 │ 40 │ 50 │ │копирование │ │ │ │ │ │ │информации │ │ │ │ │ │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 3. Жалобы │ │ │ │ │ │ │клиентов │ 10 │ 5 │ 2 │ 1 │ 0 │ ├──────────────────┼────────────┼─────────┼──────────┼──────────┼─────────┤ │ 4. Сбои (отказы,│ 2 │ 0 │ 0 │ 0 │ 0 │ │нарушения работы,│ │ │ │ │ │ │технические │ │ │ │ │ │ │ошибки) │ │ │ │ │ │ │вычислительной │ │ │ │ │ │ │(компьютерной) │ │ │ │ │ │ │техники, │ │ │ │ │ │ │программного │ │ │ │ │ │ │обеспечения, │ │ │ │ │ │ │коммуникационных │ │ │ │ │ │ │средств связи,│ │ │ │ │ │ │приведших к│ │ │ │ │ │ │полной или│ │ │ │ │ │ │частичной утрате│ │ │ │ │ │ │(повреждению, │ │ │ │ │ │ │искажению) │ │ │ │ │ │ │информации │ │ │ │ │ │ │реестра │ │ │ │ │ │ └──────────────────┴────────────┴─────────┴──────────┴──────────┴─────────┘
Приложение 5
Примерный перечень
ключевых индикаторов риска деятельности по ведению реестра
┌────┬──────────────────────────────────────────┬──────────┬──────────────┐ │ N │ Наименование индикатора │Пороговое │Ответственное │ │ │ │ значение │ лицо │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1. │IT системы │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.1 │процент операций, требующих ручного ввода│ │ │ │ │(за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.2 │процент операций, осуществляемых с│ │ │ │ │помощью ЭДО │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.3 │количество сбоев программного обеспечения│ │ │ │ │(за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.4 │процент неправильно переданных данных (за│ │ │ │ │период): │ │ │ │ │ - филиалам │ │ │ │ │ - трансфер-агентам │ │ │ │ │ - номинальным держателям │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.5 │число случаев, связанных с потерей│ │ │ │ │персональных данных (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.6 │число случаев, связанных с потерей│ │ │ │ │учетных данных (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.7 │среднее время реакции на технический сбой│ │ │ │ │в системе ведения реестра в операционной│ │ │ │ │системе │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.8 │среднее время проведения одной операции│ │ │ │ │(по видам операций) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.9 │число случаев, связанных с нарушением│ │ │ │ │энергоснабжения (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.10│частота обновления программного│ │ │ │ │обеспечения (антивирусного и т.д.) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.11│оценка напряженности трафика IT-системы │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.12│периодичность дублирования информации (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.13│уровень (%) дублирования систем (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │1.14│время неработоспособности IT-системы (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2. │Показатели деятельности по ведению│ │ │ │ │реестра │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.1 │среднее количество зарегистрированных│ │ │ │ │лиц, обслуживаемых одним сотрудников (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.2 │среднее количество (объем) операций,│ │ │ │ │проводимых одним сотрудником (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.3 │процент аттестованных сотрудников, от│ │ │ │ │общего числа сотрудников, занятых в│ │ │ │ │основном виде деятельности │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.4 │сумм страхового покрытия в расчете на│ │ │ │ │одного обслуживаемого владельца │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.5 │количество административных штрафов,│ │ │ │ │предписаний со стороны регулирующего│ │ │ │ │органа (за 1 - 3 года) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.6 │размер заявленных убытков (за 1 - 3│ │ │ │ │года) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.7 │отношение выплаты по заявленным убыткам к│ │ │ │ │размеру заявленных убытков (за 1 - 3│ │ │ │ │года) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.8 │число обращений (с жалобами, за│ │ │ │ │консультацией) клиентов (эмитентов,│ │ │ │ │зарегистрированных лиц, номинальных│ │ │ │ │держателей) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.9 │среднее время "дозвона" клиентов │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.10│среднее время рассмотрения обращения│ │ │ │ │клиента │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.11│количество ошибок сотрудников, включая│ │ │ │ │неисполнение или ненадлежащее исполнение│ │ │ │ │ими своих служебных обязанностей │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.12│соотношение выявленных умышленных│ │ │ │ │противоправных (мошеннические) действий│ │ │ │ │сотрудников, включая совершение действий с│ │ │ │ │использованием поддельных документов, а│ │ │ │ │также несанкционированный доступ к│ │ │ │ │компьютерным сетям страхователя с целью│ │ │ │ │уничтожения, изменения (искажения)│ │ │ │ │электронных данных к свершенным │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.13│соотношение умышленных противоправных│ │ │ │ │действий внешних лиц, включая совершение│ │ │ │ │действий с использованием поддельных│ │ │ │ │документов, а также несанкционированный│ │ │ │ │доступ к компьютерным сетям страхователя│ │ │ │ │с целью уничтожения, изменения│ │ │ │ │(искажения) электронных данных к│ │ │ │ │свершенным │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.14│количество ошибок сотрудников, связанных│ │ │ │ │с осуществлением электронного│ │ │ │ │документооборота (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.15│соотношение выявленных умышленных│ │ │ │ │противоправных (мошеннические) действий│ │ │ │ │сотрудников, включая совершение действий│ │ │ │ │с использованием поддельных│ │ │ │ │(изготовленных в мошеннических целях│ │ │ │ │дубликатов) или скомпрометированных│ │ │ │ │Ключей ЭЦП, а также действий с целью│ │ │ │ │уничтожения, копирования, изменения│ │ │ │ │(искажения) данных, содержащихся в│ │ │ │ │Электронном документе к свершенным (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.16│соотношение умышленных противоправных│ │ │ │ │действий внешних лиц (включая других│ │ │ │ │участников СЭД), включая совершение│ │ │ │ │действий с использованием поддельных│ │ │ │ │(изготовленных в мошеннических целях│ │ │ │ │дубликатов) или скомпрометированных│ │ │ │ │Ключей ЭЦП, а также действий с целью│ │ │ │ │уничтожения, копирования, изменения│ │ │ │ │(искажения) данных, содержащихся в│ │ │ │ │Электронном документе к свершенным (за│ │ │ │ │период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.17│количество сбоев (отказов, нарушения в│ │ │ │ │работе) средств криптографической защиты│ │ │ │ │информации (СКЗИ) и иного аппаратно-│ │ │ │ │программного обеспечения, используемого│ │ │ │ │при осуществлении электронного│ │ │ │ │документооборота (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │2.18│Число дней в году обеспечения│ │ │ │ │непрерывности: │ │ │ │ │- внутреннего контроля; │ │ │ │ │- ПОД/ФТ; │ │ │ │ │- противодействия инсайду │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3 │Внутренний контроль │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3.1 │среднее количество операций,│ │ │ │ │контролируемых одним сотрудником │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3.2 │соотношение количества нарушений,│ │ │ │ │выявленных службой внутреннего контроля к│ │ │ │ │количеству нарушений, выявленных в ходе│ │ │ │ │проверки │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │3.4 │процент сотрудников, осуществляющих│ │ │ │ │внутренний контроль, к общему числу│ │ │ │ │сотрудников, занятых в основной│ │ │ │ │деятельности │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │4. │Риски регулирования │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │ │Количество плановых проверок за период: │ │ │ │ │ФСФР; │ │ │ │ │Росфинмониторинг; │ │ │ │ │Роскомнадзор; │ │ │ │ │Др. │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5. │Персонал │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.1 │процент "сменяемости" сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.2 │соотношение числа уволившихся│ │ │ │ │сотрудников к общему числу сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.3 │процент дублирования функций сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.4 │процент сотрудников, аттестованных по│ │ │ │ │внутреннему контролю │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.5 │процент сотрудников, аттестованных по│ │ │ │ │ПОД/ФТ │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.6 │процент сотрудников, прошедших обучение по│ │ │ │ │инсайду │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.7 │процент рабочих дней, пропущенных│ │ │ │ │персоналом по уважительной причине │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.8 │процент рабочих дней, пропущенных│ │ │ │ │персоналом по причине болезни │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.9 │количество дисциплинарных взысканий,│ │ │ │ │примененных к сотрудникам │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.10│количество рацпредложений, поступивших от│ │ │ │ │сотрудников │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.11│количество денежных средств, потраченных│ │ │ │ │организацией на безопасность и здоровье│ │ │ │ │сотрудников в расчете на одного│ │ │ │ │сотрудника │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │5.12│количество денежных средств, потраченных│ │ │ │ │организацией на обучение сотрудников в│ │ │ │ │расчете на одного сотрудника │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6. │Внешние риски │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.1 │число стихийных бедствий, нанесших ущерб│ │ │ │ │организации (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.2 │число пожаров (за период) │ │ │ ├────┼──────────────────────────────────────────┼──────────┼──────────────┤ │6.3 │число смены местоположения организации│ │ │ │ │(за период) │ │ │ └────┴──────────────────────────────────────────┴──────────┴──────────────┘
Приложение 6
ПРИМЕР
ЗАПОЛНЕНИЯ МАТРИЦЫ РИСКОВ ДЕЯТЕЛЬНОСТИ ПО ВЕДЕНИЮ РЕЕСТРА
┌──────────────────────────┬─────┬───────────────┬────────────┬───────────┐ │ Группа риска/количество │ ГРi │ Отсутствует │Однократное │ Выявлено │ │ выявленных событий по │ │ │ выявление │ более │ │ группам рисков │ │ │ │ одного │ │ │ │ │ │ события │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │ B │ │ 0,1 │ 1 │ 2 │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │1. Противоправные│ 3 │ 0,3 │ │ │ │действия сотрудников и│ │ │ │ │ │третьих лиц (включая│ │ │ │ │ │электронные и│ │ │ │ │ │компьютерные │ │ │ │ │ │преступления). │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │2. Риски регулирования │ 3 │ │ 3 │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │3. Ошибка и/или│ 2 │ │ │ 4 │ │ненадлежащее исполнение│ │ │ │ │ │обязанностей персоналом │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │4. Сбои, повреждения│ 2 │ │ 2 │ │ │электронного и/или│ │ │ │ │ │компьютерного │ │ │ │ │ │оборудования, │ │ │ │ │ │программного обеспечения │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │5. Риски клиентов и│ 2 │ │ 2 │ │ │контрагентов │ │ │ │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │6. Правовые риски │ 2 │ │ 2 │ │ ├──────────────────────────┼─────┼───────────────┼────────────┼───────────┤ │7. Гибель, повреждение│ 1 │ 0,1 │ │ │ │документов и архива в│ │ │ │ │ │результате затопления,│ │ │ │ │ │пожара и т.д. │ │ │ │ │ └──────────────────────────┴─────┴───────────────┴────────────┴───────────┘
