Методические указания по подготовке Положения о системе управления рисками от 23 марта 2015 г.

1. Введение

1.1 Настоящие Методические указания разработаны во исполнение подпункта "г" пункта 1 и подпункта "а" пункта 2 перечня поручений Президента Российской Федерации по итогам совещания по вопросу повышения эффективности деятельности госкомпаний от 9 декабря 2014 г. N Пр-3013, а также поручения Правительства Российской Федерации от 23.03.2015 N ИШ-П13-1818.

1.2 Методические указания о системе управления рисками (далее - Методические указания) разработаны в целях оказания содействия при подготовке внутреннего нормативного документа - о системе управления рисками для# государственных корпорациях, государственной компании и акционерных обществах с государственным участием, включенных в специальный перечень, утвержденный распоряжением Правительства Российской Федерации от 23.01.2003 N 91-р (далее - корпорации, компании и акционерные общества).

1.3 Методические указания разработаны в соответствии с требованиями российского законодательства, а также с учетом общепризнанных практик и стандартов деятельности, и распространяются на корпорации, компании, акционерные общества в части, не противоречащей российскому законодательству.

1.4 Методические указания определяют:

- структуру и содержание положения о системе управления рисками;

- порядок подготовки, утверждения и внесения изменений в положение о системе управления рисками.

1.5 При подготовке положения о системе управления рисками корпорациям, компаниям и акционерным обществам целесообразно руководствоваться следующими документами:

- Федеральные законы о соответствующих государственных корпорациях и компаниях;

- Федеральный закон "Об акционерных обществах" (Об АО) от 26.12.1995 N 208-ФЗ;

- Федеральный закон от 06.12.2011 N 402 "О бухгалтерском учете";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного Федерального закона следует читать как "402-ФЗ"

- Федеральный закон от 25.12.2008 N 273 "О противодействии коррупции";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного Федерального закона следует читать как "273-ФЗ"

- Постановление Правительства РФ от 23.09.2002 N 696 "Об утверждении федеральных правил (стандартов) аудиторской деятельности";

- Постановление Правительства РФ от 17.03.2014 N 193 "Об утверждении правил осуществления главными распорядителями (Распорядителями) средств федерального бюджета, главными администраторами (Администраторами) доходов федерального бюджета, главными администраторами (Администраторами) источников финансирования дефицита федерального бюджета внутреннего финансового контроля и внутреннего финансового аудита и о внесении изменения в пункт 1 правил осуществления ведомственного контроля в сфере закупок для обеспечения федеральных нужд, утвержденных постановлением правительства Российской Федерации от 10.02.2014 N 89".

- Кодекс корпоративного управления Российской Федерации (Письмо Банка России от 10 апреля 2014 г. N 06-52/2463 "О Кодексе корпоративного управления");

- Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах";

- Приказ ФСФР России от 30.07.2013 N 13-62/пз-н "О порядке допуска ценных бумаг к организованным торгам";

- Рекомендации Минфина России N ПЗ-11/2013 "Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности" (письмо Минфина РФ от 26.12.2013 N 07-04-15/57289);

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного письма Минфина РФ следует читать как "25.12.2013"

- Приказ Росимущества от 20.03.2014 N 86 "Об утверждении Методических рекомендаций по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации);

- Приказ Росимущества от 04.07.2014 N 249 "Об утверждении Методических рекомендаций по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации;

- Документ (концепция) СОSО "Управление рисками организаций. Интегрированная модель" (2004 г.);

- Международный стандарт ГОСТ Р ИСО 73:2009 "Менеджмент риска. Термины и определения";

- Международный стандарт ГОСТ Р ИСО 31000:2010 "Менеджмент риска. Принципы и руководство" (Приказ Госстандарта от 21.12.2010 N 883-ст);

- Международный стандарт ГОСТ Р ИСО 31010:2011 "Менеджмент риска. Методы оценки риска" (Приказ Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 680-ст);

- Стандарты управления рисками Федерации Европейских Ассоциаций Риск Менеджеров (FERMA);

- Документ (концепция) COSO "Руководство по мониторингу системы внутреннего контроля" (2009);

- Документ (концепция) СОSO "Интегрированная концепция внутреннего контроля" (2013 г.);

- Международные основы профессиональной практики внутренних аудиторов, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита).

2. Общие положения

2.1 Положение о системе управления рисками (далее - Положение) является внутренним нормативным документом, определяющим отношение корпорации, компании, акционерного общества к рискам, устанавливающим общие принципы построения системы управления рисками (далее - СУР), ее цели и задачи, общие подходы к организации, распределение ответственности между участниками СУР и характер их взаимодействия.

2.2 При разработке данного документа рекомендуется принимать во внимание порядок и форму системы организационно-распорядительной документации в корпорации, компании, акционерном обществе. Так, документы могут носить наименование "Политика в области управления рисками", "Стандарт по управлению рисками" и т.п.

2.3 При разработке Положения целесообразно помимо документов, указанных в п. 1.4, также учитывать:

- характер деятельности и приоритеты корпорации, компании, акционерного общества;

- требования применимых законодательных и нормативных актов, государственных или отраслевых стандартов;

- уровень развития системы управления рисками в корпорации, компании, акционерном обществе и задачи, поставленные перед системой управления рисками советом директоров (наблюдательным советом) и исполнительными органами;

- положения внутренних нормативных документов корпорации, компании, акционерного общества.

2.4 В государственных корпорациях и компаниях Положение рассматривается и утверждается уполномоченным органом управления в соответствии с федеральными законами, регулирующими создание и деятельность соответствующих государственных корпораций и компаний, а также в соответствии с Уставом и внутренними нормативными документами. В акционерных обществах Положение утверждается советом директоров с учетом предварительного рассмотрения уполномоченным комитетом совета директоров по управлению рисками* (при наличии) в соответствии с Уставом и внутренними нормативными документами акционерного общества.

2.5 Рекомендуется, чтобы отраженные в настоящих Методических указаниях полномочия совета директоров (наблюдательного совета) в области управления рисками, были предусмотрены Уставом или внутренним нормативным документом, принимаемым высшим органом управления корпорации, компании (в случае, если Положение утверждается не высшим органом управления корпорации, компании), и были приняты до утверждения настоящего Положения.

Если Положение будет утверждено до принятия соответствующих полномочий, рекомендуется привести его в соответствие непосредственно после внесения соответствующих изменений и дополнений в Устав корпорации, компании, акционерного общества или принятия внутренних нормативных актов высшим органом управления корпорации, компании.

2.6 Положение является основой для разработки внутренних методологических и распорядительных документов, регламентирующих процесс организации СУР (как на уровне корпорации, компании, акционерного общества в целом, так и на уровне отдельных функциональных направлений деятельности и дочерних обществ) и детально описывающих методики и инструменты по управлению рисками, включая процедуры оценки и управления отдельными типами рисков.

2.7 Положение не рассматривает принципы и подходы по организации, построению и функционированию системы внутреннего контроля. Данные вопросы рекомендуется отразить в отдельном нормативном документе - положении о системе внутреннего контроля. В зависимости от особенностей построения системы управления рисками и внутреннего контроля корпорация, компания, акционерное общество может разработать единый нормативный документ - положение о системе управления рисками и внутреннего контроля.

2.8 Разработку и подготовку предложений по внесению изменений в положение о системе управления рисками рекомендуется возложить на руководителя подразделения управления рисками. Утверждение существенных изменений производится в порядке, предусмотренном п. 2.4 настоящих Методических указаний.

2.9 Инициаторами внесения изменений в Положение могут являться руководитель подразделения по управлению рисками, руководители структурных подразделений корпорации, компании, акционерного общества, исполнительные органы, комитет по рискам (при наличии), комитет по аудиту, уполномоченный комитет совета директоров по управлению рисками (при наличии), совет директоров (наблюдательный совет) корпорации, компании, акционерного общества и иные участники процесса управления рисками, если это предусмотрено внутренними нормативными документами корпорации, компании, акционерного общества.

3. Структура и содержание Положения о системе управления рисками

Структура и формат Положения определяются корпорациями, компаниями и акционерными обществами самостоятельно, исходя из специфики деятельности, законодательных и регулярных ограничений, задач, поставленных перед системой управления рисками советом директоров (наблюдательным советом) и исполнительными органами. Рекомендуется предусмотреть в документе следующие положения/разделы:

3.1 Общие положения

Раздел "Общие положения" определяет:

- цели документа "Положение о системе управления рисками" и область его применения;

- порядок подготовки, утверждения и внесения изменений в "Положение о системе управления рисками";

- перечень документов, нормативных актов и общепринятых стандартов, в соответствии с которыми Положение разработано и которые применяются при осуществлении процесса управления рисками в корпорации, компании, акционерном обществе.

В данном разделе также может быть отражен порядок применения Положения в дочерних обществах корпорации, компании, акционерного общества.

3.2 Определение, цели и задачи системы управления рисками

В данном разделе приводится определение, формулируются цели и задачи системы управления рисками в корпорации, компании, акционерном обществе. При их определении рекомендуется руководствоваться общепринятыми практиками и стандартами деятельности**, принимая во внимание цели и специфику деятельности, организационную структуру корпорации, компании, акционерного общества, а также уровень развития существующей СУР.

Поскольку цели и задачи СУР могут изменяться по мере развития и совершенствования процесса управления рисками, целесообразно предусмотреть в Положении периодичность пересмотра целей и задач СУР на предмет их актуальности и соответствия текущему уровню развития.

3.3 Принципы функционирования СУР

Рекомендуется определить и раскрыть в Положении принципы***, на основе которых корпорация, компания, акционерное общество строит систему управления рисками. Подразумевается, что принципы, лежащие в основе построения СУР, являются едиными, приняты и соблюдаются на всех уровнях корпорации, компании, акционерного общества.

3.4 Участники процесса управления рисками и их функции

Управление рисками в корпорации, компании, акционерном обществе осуществляется целым рядом сторон (участники СУР), каждая из которых выполняет свои функции и обязанности в данном процессе. Рекомендуется определить в Положении состав участников и распределение обязанностей между ними в рамках процесса управления рисками.

Состав участников процесса управления рисками корпорация, компания, акционерное общество определяет самостоятельно, в соответствии со своей организационной структурой, учитывая при этом размер и характер деятельности корпорации, компании, акционерного общества, цели и задачи СУР. Целесообразно отнести к участникам СУР совет директоров (наблюдательный совет), комитет по аудиту, уполномоченный комитет совета директоров по управлению рисками, исполнительные органы, комитет по рискам (при наличии), структурное подразделение/подразделения по управлению рисками и внутреннему контролю, структурные подразделения корпорации, компании, акционерного общества и их сотрудников, а также ревизионную комиссию и подразделение внутреннего аудита в части осуществления независимого мониторинга и оценки СУР.

Рекомендуется установить такое распределение обязанностей и ответственности между участниками СУР, которое будет способствовать эффективности реализации процесса управления рисками, исключать дублирование функций, обеспечивать согласованность и эффективность реализуемых мер по управлению рисками.

Для эффективного функционирования системы управления рисками в корпорации, компании, акционерном обществе рекомендуется создать (определить) отдельное структурное подразделение по управлению рисками. К его функциям рекомендуется отнести:

- общую координацию процессов управления рисками;

- разработку методологических документов в области обеспечения процесса управления рисками;

- организацию обучения работников в области СУР;

- анализ портфеля рисков и выработку предложений по стратегии реагирования и перераспределению ресурсов в отношении управления соответствующими рисками;

- формирование сводной отчетности по рискам;

- осуществление мониторинга процессом управления рисками структурными подразделениями корпорации, компании, акционерного общества и в установленном порядке подконтрольными им обществами;

- подготовку и информирование органов управления корпорации, компании, акционерного общества об эффективности процесса управления рисками, а также по иным вопросам, предусмотренным политикой в области управления рисками.

Рекомендуется структурно разграничить подразделение по управлению рисками (включая полномочия и обязанности) от деятельности структурных подразделений, осуществляющих управление рисками в рамках своей операционной деятельности, а также от деятельности, относимой к функционалу внутреннего аудита, контрольно-ревизионных подразделений и иных подразделений, осуществляющих функции независимого мониторинга и оценки системы управления рисками корпорации, компании, акционерного общества.

В этой связи целесообразно предусмотреть административную подотчетность подразделения по управлению рисками единоличному исполнительному органу или лицу, наделенному необходимыми полномочиями для реализации процесса управления рисками на всех уровнях организационной структуры корпорации, компании, акционерного общества (например, вице-президенту, заместителю генерального директора по корпоративному управлению, стратегии и т.п.).

Целесообразно также закрепить подотчетность и ответственность участников СУР по управлению рисками во внутренних нормативных документах корпорации, компании, акционерного общества - положении о совете директоров (наблюдательном совете), положении о правлении, положении о комитете по рискам (при наличии), положении о подразделении по управлению рисками, положениях о структурных подразделениях, должностных инструкциях сотрудников и иных внутренних нормативных документах, регламентирующих деятельность корпорации, компании, акционерного общества.

3.5 Взаимодействие в рамках СУР

Данный раздел предусматривает описание видов и установление порядка взаимодействия участников СУР в рамках процесса управления рисками:

- вертикальное взаимодействие, т.е. взаимодействие между участниками СУР на различных уровнях иерархии организационной структуры СУР, включая взаимодействие подразделения по управлению рисками с советом директоров (наблюдательным советом), комитетом по аудиту, уполномоченным комитетом совета директоров по управлению рисками, ревизионной комиссией, единоличным исполнительным органом, правлением, комитетом по рискам (при наличии), а также процедуры взаимодействия на уровне головной компании и дочерних и зависимых обществ;

- горизонтальное взаимодействие, т.е. взаимодействие между структурными подразделениями корпорации, компании, акционерного общества в рамках управления рисками, включая взаимодействие между подразделением по управлению рисками и структурными подразделениями, осуществляющими операционную деятельность; взаимодействие между подразделением по управлению рисками и подразделением внутреннего аудита (в рамках обмена информацией о выявленных рисках и эффективности мероприятий по их управлению на уровне бизнес-процессов, подготовки риск-ориентированного плана внутреннего аудита, оценки эффективности СУР), взаимодействие между подразделением по управлению рисками и подразделением внутреннего контроля (в рамках обмена информацией о выявленных рисках, их оценке и мероприятиях по управлению рисками) и пр.;

- взаимодействие с внешними заинтересованными сторонами - государственными надзорными органами, внешними аудиторами, банками, страховыми компаниями, акционерами, инвесторами и т.д.

3.6 Предпочтительный риск

Рекомендуется закрепить в Положении необходимость определения и утверждения предпочтительного риска - предельно допустимого уровня рисков, к которому корпорация, компания, акционерное общество стремится или готова поддерживать. Предпочтительный риск определяется исполнительными органами и утверждается советом директоров (наблюдательным советом) корпорации, компании, акционерного общества, если иное не предусмотрено федеральными законами, регулирующими создание и деятельность соответствующих государственных корпораций, компаний. Уровень предпочтительного риска может быть закреплен решением в протоколе заседания совета директоров (наблюдательного совета). Рекомендуется предусмотреть в нормативных документах периодичность пересмотра уровня предпочтительного риска. Рекомендуется возложить обязанности по разработке и пересмотру методологии определения уровня предпочтительного риска на подразделение управления рисками.

3.7 Этапы процесса управления рисками

Положение устанавливает общий подход к процессу управления рисками в корпорации, компании, акционерном обществе, определяет его основные этапы, включая выявление рисков, их оценку, выбор возможных методов реагирования на риск, разработку мероприятий по управлению рисками, мониторинг рисков и статус реализации мероприятий по управлению рисками. В Положении могут быть определены типовые инструменты, используемые в рамках процесса управления рисками (классификатор рисков, паспорта, карта рисков и пр.).

Детальное описание процедур, осуществляемых в рамках каждого этапа, а также методы выявления, оценки и управления отдельными рисками, регулируются внутренними нормативными документами корпорации, компании, акционерного общества, например:

- регламенты, руководства по организации процесса управления рисками, предусматривающие детальное описание шагов процесса с определением ответственных лиц и порядка их взаимодействия в рамках каждого этапа процесса управления рисками, включая процесс формирования карты рисков и подготовки отчетности по рискам;

- руководства, методики, инструкции по оценке и управлению отдельными типами рисков (проектными, производственными, финансовыми, ценовыми и т.д.);

- процедуры сбора данных (статистики) и информирования о реализовавшихся рисках и пр.

Корпорация, компания, акционерное общество самостоятельно вырабатывают политику и меры по управлению рисками и отражают их в соответствующих нормативных документах, включая построение системы внутреннего контроля и разработку положения о ней, организацию распределения полномочий по управлению рисками, меры стимулирования и ответственности работников и другие меры и инструменты по управлению рисками.

3.8 Оценка эффективности СУР

В данном разделе рекомендуется отразить порядок и формы (самооценка/независимая оценка - внутренняя и/или внешняя) проведения оценки эффективности системы управления рисками, ее периодичность, а также установить ответственность за ее проведение и порядок предоставления отчетности по ее результатам заинтересованным сторонам. Внутренняя оценка эффективности системы управления рисками проводится не реже одного раза в год, внешняя - согласно периодичности, установленной советом директоров (наблюдательным советом) корпорации, компании, акционерного общества, и зависит от характера и масштабов деятельности корпорации, компании, акционерного общества, принимаемых рисков, изменений в организационной деятельности и общего уровня развития, надежности и эффективности СУР.

______________________________

* Вопросы определения принципов и подходов к организации системы управления рисками могут быть возложены на уполномоченные советом директоров комитеты, например, комитет по рискам, комитет по стратегии.

** Указаны в п. 1.4 настоящих Методических указаний

*** Международный стандарт ГОСТ Р ИСО 31000:2010 "Менеджмент риска. Принципы и руководство" (Приказ Росстандарта от 21.12.2010 N 883-ст)