Оценка рисков организации позволяет учитывать, в какой степени события могут оказать влияние на достижение ее целей.
Оценка риска состоит из идентификации риска, его анализа и сравнительной оценки риска* (*В соответствии со стандартом ИСО/МЭК 31010:2009 «Менеджмент риска. Методы оценки риска» (ISO/IEC 31010:2009 «Risk management — Risk assessment techniques»).
Для оценки используются количественные или качественные методы оценки, либо их сочетание. Методы качественной оценки часто используются в случаях невозможности количественного определения рисков, а также в случаях, когда достаточно надежные данные, требуемые для количественной оценки, либо нельзя получить, либо получение и анализ таких данных оказываются слишком дорогостоящими.
В целях проведения оценки рисков, а также их последующего ранжирования по уровню значимости может использоваться Матрица последствий и вероятностей рисков (Матрица рисков). Матрица рисков учитывает как вероятность наступления рискового события, так и последствия от реализации рисков. Матрица рисков может быть организована в табличной форме, где строки и столбцы представляют шкалы значений оценок последствий и вероятностей, а их пересечение позволяет количественно оценить тот или иной вид риска.
Для определения источников (факторов) риска организация может использовать количественные или качественные показатели, характеризующие концентрацию рисков. Данные показатели именуются ключевыми индикаторами рисков (КИР).
В целях определения ограничений рисков можно выделить качественные и количественные методы. Организацией могут определяться ограничения рисков, как по каждому виду риска, так и по совокупному риску (риск – аппетит). Наиболее информативным является количественный метод определения ограничений рисков (в денежном эквиваленте), однако его применение возможно только в том случае, если есть возможность оценить финансовый ущерб от реализации рисков, в том числе потенциальный.
Основными целями проведения самооценки организации являются: идентификация основных операционных рисков, характерных для финансовых услуг, бизнес - процессов и систем, относящихся к основной деятельности организации; выполнение оценки в рамках операционных рисков для каждого из выявленных рисков; выявление отсутствующих, несовершенных либо устаревших процедур контроля в разрезе бизнес - процессов структурных подразделений и разработка плана корректирующих мероприятий по ограничению/снижению выявленных операционных рисков; формирование инструментов управления операционными рисками.
Проведение оценки системы управления рисками для целей ее совершенствования обязательно для профессионального участника рынка ценных бумаг. Периодичность такой оценки, а также критерии оценки нормативными актами Банка России не регламентируются. Хорошей практикой считается ежегодная оценка системы управления рисками функцией внутреннего/внешнего аудита, а также периодическая оценка системы управления рисками с привлечением внешних экспертов (например, один раз в три года).
Организация в рамках обмена информацией о рисках обеспечивает выполнение следующих мероприятий: обмен информацией о рисках между сотрудниками структурных подразделений, их руководителями, Должностным лицом, ответственным за организацию системы управления рисками, и руководством организации, в том числе доведение Плана мероприятий по снижению рисков и информации о его реализации, а также информации об ограничениях рисков и нарушениях ограничений рисков до сведения руководства организации; составление и представление на рассмотрение руководству организации отчетов о результатах осуществления в рамках организации системы управления рисками процессов и мероприятий в целях обеспечения эффективности функционирования системы управления рисками, принятия решений по вопросам развития (совершенствования) системы управления рисками.
