Управление рисками осуществления профессиональной деятельности на рынке ценных бумаг и процедуры урегулирования убытков при реализации рисков

    Компании, способные контролировать свои риски, менее уязвимы по сравнению с конкурентами, так как основная часть потерь связана с рисками, контроль над которыми не осуществляется. Сегодня управление рисками, связанными с деятельностью институтов учетной системы, является одним из приоритетных направлений в менеджменте на рынке ценных бумаг.
    Размеры потерь от неконтролируемых рисков могут быть очень велики, равняясь порой прибыли организации. Тем не менее руководство компании зачастую не осознает реальной величины ущерба, а его очевидная часть рассматривается как неизбежные расходы.
    В действительности же многих потерь можно избежать, используя современные системы управления, в том числе основанные на методах контроля риска.
    Процесс управления рисками можно разделить на следующие этапы:
    1. Выбор анализируемых объектов и степени детальности их рассмотрения.
    2. Выбор методологии оценки рисков.
    3. Оценка рисков.
    4. Анализ последствий реализации рисков.
    5. Выбор мер по снижению рисков.
    6. Реализация и проверка выбранных мер.
    7. Оценка остаточного риска.
    Этапы 6 и 7 относятся к выбору защитных регуляторов, остальные - к оценке рисков. Управление рисками - процесс циклический, по существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

ОЦЕНКА РИСКОВ

    Очень важно выбрать разумную методологию оценки рисков, целью которой является получение ответа на два вопроса: приемлемы ли существующие риски и если нет, то какие защитные средства экономически выгодно использовать? Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками - типичная оптимизационная задача, и существует довольно много программных средств, способных помочь в ее решении. Принципиальная трудность, однако, состоит в неточности исходных данных. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой.
    Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности в деятельности института учетной системы.
    Управление рисками - процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
    Целесообразно выявлять не только сами риски, но и источники их возникновения - это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля и т.д. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы без-опасности.
    После идентификации рисков необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу: низкая (1), средняя (2) и высокая (3) вероятность.
    Кроме вероятности осуществления важен размер потенциального ущерба. Тяжесть ущерба также можно оценить по трехбалльной шкале.
    Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Оценивая вероятность реализации рисков, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных технологий, информационных систем.
    После того как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, т.е. собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
    Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Как правило, для ликвидации или устранения источника риска существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.
    Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению (подходящих средств, вероятно, будет несколько). Однако, если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.
    Важным обстоятельством является совместимость нового средства со сложившейся операционной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.
    Можно представить себе ситуацию, когда для уменьшения риска не существует эффективных и приемлемых по цене мер. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий.
    Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно распланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.
    Когда намеченные меры приняты, необходимо проверить их действенность, т.е. убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками.

КОНТРОЛЬ РИСКОВ

    Основная цель этого этапа - разработка и проведение превентивных мероприятий, которые позволяют избежать событий, приводящих к возникновению убытков. Если это не представляется возможным, то нужно свести к минимуму вероятность наступления такого события и возможную степень его влияния.
    Учитывается, что расходы на контроль за рисками не должны превышать определенной доли прибыли на инвестированный капитал.
    Методы уменьшения риска разделяются на пять основных групп:
    1) физическая защита (например, организация охраны, автоматические системы пожаротушения и т.д.);
    2) организационные меры (систематические проверки и надзор, разработка и исполнение соответствующих инструкций и т.п.);
    3) обучение персонала;
    4) послеаварийные меры (наличие специальных служб и оборудования для ликвидации ущерба);
    5) юридическая защита (договорные обязательства, поручительства, гарантии).
    Выгоды от реализации плана сокращения рисков идут по двум направлениям:

прямые выгоды (снижаются затраты на страхование и собственные расходы на ликвидацию ущерба);

косвенные выгоды (улучшение трудовых отношений, создание более чистой и безопасной рабочей атмосферы, повышение культуры производства).
В конце разрабатываются мероприятия по минимизации тяжести возможных убытков.

ФИНАНСИРОВАНИЕ РИСКОВ

    Риски, которые невозможно исключить или снизить до приемлемого уровня, предполагают их финансирование.
    Системы финансовых мер на случай риска включают все возможные средства покрытия финансовых последствий убытков. На практике это означает обеспечение способности предприятия или организации противостоять вероятным опасностям и страхование незащищенных рисков.
    Могут использоваться следующие финансовые меры, предусматриваемые на случай риска:

оплата убытков по мере их возникновения непосредственно из средств, отведенных на текущие расходы;

ежегодно откладывается некая сумма, помещаемая во внутренний фонд. Из этого фонда, образующего резервный капитал, и черпаются в течение длительного времени средства на покрытие убытков (самострахование);

риски переводятся на ответственность гарантов и/или поручителей;

риски переводятся на страховые компании. Страхование позволяет превратить неопределенный по величине риск в определенные затраты, т.е. в страховые взносы.
    Разнообразные комбинации таких мер обеспечивают надежную защиту деятельности организации. Страхование при этом является основной формой финансирования риска. Итогом является разработка комплексного плана мероприятий по управлению рисками конкретной организации.
    Управление рисками включает в себя не только разработку систем безопасности, хотя и они могут помочь там, где это необходимо и где затраты на это оправданны. Оно, скорее, помогает подразделению, осуществляющему внутренний контроль рисков организации, идентифицировать риски и факторы рисков, а также решить, какие шаги следует предпринять, чтобы избежать, исключить, уменьшить или как-либо по-иному контролировать подобные риски.
    Выгоды от управления рисками заключаются в следующем:

продуманный метод идентификации и контроля рисков снизит количество неблагоприятных ситуаций;

контроль за рисками укрепит финансовую стабильность, а также создаст условия для продолжения стабильной деятельности;

предоставление специализированных консультаций, направленных на уменьшение рисков и соответственно снижение затрат на страхование;

благодаря хорошим качествам управления рисками количество претензий будет ограничено в течение ряда лет, и в дальнейшем могут применяться новые типы финансирования возможных рисков.
На каждом из этапов процесса управления рисками организация может осуществлять его самостоятельно или прибегать к услугам других компаний - страховых, аудиторских, сюрвейерских и т.д.
Заказчиком проведения сюрвея (инспекционной проверки системы управления рисками) профессионального участника рынка бумаг может быть как сама организация, которая подвергается такой проверке, так и страховая компания, которая принимает на страхование ряд рисков данной организации. Результаты данной проверки включают:

краткий отчет о деятельности профессионального участника;

рекомендации руководителям относительно совершенствования организации внутреннего контроля и управления рисками деятельности организации.
    Краткий отчет о деятельности организации содержит обзор истории развития предприятия, структуры управления, кадров и методов работы. Данный раздел отчета содержит также описание системы внутреннего контроля, аудита систем безопасности и управления рисками.
    В том случае если одной из целей данной проверки является оценка криминальных рисков, большое внимание уделяется кадровым вопросам организации. Стандартные рекомендации зачастую содержат предложение по применению формального и структурированного метода планирования продвижения по должности и ротации должностей, поскольку мошенничество и другие нарушения выявляются чаще всего при переводе служащих на другие должности.
12Рекомендации, касающиеся кадров, могут содержать предложения относительно продолжительности непрерываемого отпуска (2 недели); выяснение причин ухода сотрудника из данной организации; принятие необходимых административных мер безопасности, связанных с этим; ежемесячное сравнение штатного расписания с составом сотрудников предыдущего месяца и выявление причин его изменения и т.д. Однако данный отчет и рекомендации не являются гарантией полученных результатов и поручительством против рисков.3
    При заключении договора страхования страховщик может потребовать обязательности проведения сюрвея, особенно когда речь идет о значительных лимитах ответственности по договору страхования, необходимости получения дополнительной информации о виде профессиональной деятельности, осуществляемой организацией, а также о размещении рисков организации за пределами национального стра-хового рынка. При принятии риска на страхование страховщика интересуют следующие основные характеристики деятельности органи зации: место расположения организации; осуществление внутреннего контроля; используемые ею компьютерные системы; осуществление риск-менеджмента; проведение тренингов персонала, процедуры урегулирования претензий.
    Использование страхования ответственности в качестве инструмента финансирования риска является одним из наиболее эффективных способов защиты имущественных интересов клиентов институтов учетной системы, так как в таком случае (при реализации ряда рисков) выгодоприобретателем по договору страхования является непосредственно их клиент. Урегулирование убытков происходит на основании заявления лица, понесшего убытки, документов о фактах и последствиях причинения убытков. Для определения фактического ущерба могут быть привлечены независимые эксперты, представители сюрвейерской компании. При наличии спора об обстоятельствах нанесения ущерба выплата страхового возмещения осуществляется на основании решения арбитражного или третейского суда.