3.1.1 Анализ рисков проводится исходя из стратегических целей Общества по всем направлениям деятельности, по составляющим их бизнес-процессам или отдельным проектам.
3.1.2 Анализ рисков включает следующие этапы:
· идентификация рисков – выявление всех типов и причин рисков, оказывающих влияние на достижение стратегических целей Общества, функционирование бизнес-процессов, показатели деятельности структурных подразделений и проектов ОАО «ММК;
· формирование базового реестра рисков Общества;
· качественная оценка рисков – формирование панели рисков Общества с описанием основных характеристик выявленных рисков и критериев оценки их значимости и динамики;
· количественная оценка рисков – определение значения КПР, оценка вероятности, возможного и максимального ущерба от риска;
· формирование карты рисков и ранжирование рисков по степени значимости;
· описание использующихся методов контроля и снижения выявленных рисков;
· проведение уточняющей количественной оценки по значимым и критическим рискам.
|
|
3.1.3 Идентификация рисков представляет собой процесс выявления основных причин рисков, оказывающих влияние на показатели деятельности Общества.
3.1.4 Базовый реестр рисков формируется и актуализируется риск-менеджером с учетом типов и причин рисков, выявленных структурными подразделениями и\или риск-менеджером (приложение А).
3.1.5 Качественная и количественная оценки рисков проводятся по каждому выявленному риску в целях мониторинга, определения максимального размера убытка и вероятности (частоты) его возникновения.
3.1.6 Для проведения количественной оценки рисков используются следующие методы:
· экспертных оценок на основании доступной официальной информации и статистических данных из внешних источников, внутренней информации структурных подразделений, данных КИС. Экспертами могут выступать ответственные за функционирование СУР, руководители и другие работники структурных подразделений Общества;
· статистико-математический с использованием различных математических моделей.
3.1.6.1 Качественная и количественная оценки проводятся путем заполнения структурными подразделениями панели рисков, форму которой разрабатывает риск-менеджер. Панель рисков включает в себя реестр рисков с описанием по каждому риску следующих параметров:
· описание риска;
· бизнес-процесс, подверженный риску;
· классификация риска по характеру влияния на структурное подразделение;
· воздействие риска;
· величина ущерба;
· КПР, его допустимое и фактические значения;
· значение величины максимального и ожидаемого ущерба;
|
|
· прогнозируемую вероятность реализации рискового события.
3.1.6.2 КПР разрабатывается для каждого риска структурными подразделениями совместно с риск-менеджером и характеризует вероятность возникновения рискового события и/или величину возможного ущерба в случае его реализации.
3.1.6.3 Максимальный размер ущерба определяется исходя из следующей шкалы:
· очень низкий уровень – величина возможного ущерба не превышает 10 млн. руб.;
· низкий уровень – величина возможного ущерба составляет от 10 млн. руб. до 100 млн. руб.;
· средний уровень – величина возможного ущерба составляет от 100 млн. руб. до 1 млрд. руб.;
· высокий уровень – величина возможного ущерба составляет от 1 млрд. руб. до 10 млрд. руб.;
· катастрофический уровень – величина возможного ущерба составляет от 10 млрд. руб. и\или сопоставима с величиной годовой прибыли, стоимостью активов.
Вероятность возникновения риска определяется исходя из следующей шкалы:
· очень низкая вероятность – наступление события маловероятно (вероятность менее 5%);
· низкая вероятность – наступление события возможно в ближайшие 5-10 лет (вероятность в диапазоне 5-35%);
· средняя вероятность – наступление события возможно в ближайшие 2-5 лет (вероятность в диапазоне 35-65%);
· высокая вероятность – наступление события возможно в ближайший год (вероятность в диапазоне 65-95%);
· очень высокая вероятность – наступление события возможно значительно чаще, чем 1 раз в год (вероятность свыше 95%).
В случае невозможности определения по вышеприведенным шкалам величины ущерба от риска и/или вероятности возникновения риска, они могут быть выражены словесной формулировкой в общем виде (например: средний уровень ущерба и высокая вероятность возникновения риска).
5.1.7.4 Классификация рисков по характеру влияния на структурные подразделения делятся на:
· влияющие. Причина риска напрямую, без участия промежуточного бизнес-процесса влияет на результативность оцениваемого бизнес-процесса;
· управляемые. Наличие у структурного подразделения методов управления, передачи или отказа от риска;
· контролируемые. Наличие у структурного подразделения методов контроля за управлением, передачей или отказом от риска.
3.1.7 Заполненная (актуализированная) панель рисков подлежит согласованию с риск-менеджером и является инструментом выявления, мониторинга и контроля уровня рисков, инструментом формирования карты рисков, а также одним из инструментов для принятия решения о проведении уточнения количественной оценки риска и/или разработки мероприятий по снижению рисков.
3.1.8 Панель рисков актуализируется периодически (ежемесячно, ежеквартально, ежегодно, по необходимости (в зависимости от типов рисков – по согласованию со структурными подразделениями)).
3.1.9 На основе количественной оценки рисков риск-менеджер формирует карту рисков Общества, включающую в себя риски, влияющие на деятельность Общества в целом (критические и наиболее значимые риски). Также формируются карты рисков по основным направлениям деятельности, бизнес-процессам, отдельным подразделениям и проектам, описывающие риски, непосредственно влияющие на данный объект.
3.1.10 Карта рисков формируется ежегодно и подлежит актуализации один раз в год. Карта рисков согласовывается с соответствующим комитетом Совета директоров (далее – комитет Совета директоров) и утверждается Советом директоров.
3.1.11 Карта рисков является одним из инструментов для ранжирования рисков и принятия решения о приоритетности проведения уточненной количественной оценки риска и/или разработки мероприятий по снижению рисков. Основные методы уточненной количественной оценки представлены в приложении Е.
3.1.12 Выбор и разработка методологий по уточненной количественной оценке рисков проводится риск-менеджером по согласованию со структурными подразделениями, деятельность которых связана с риском. Структурное подразделение может осуществлять выбор и разработку методологий по количественной оценке рисков совместно с риск-менеджером. В отдельных случаях, в зависимости от задачи и метода, количественную оценку риска могут осуществлять члены межфункциональных рабочих групп, состоящих из работников структурных подразделений, на которые воздействует риск.
|
|
3.1.13 Уточненная количественная оценка рисков применяется в целях:
· определения совокупного риска;
· определения допустимых границ риска;
· выбора методов управления риском;
· установления лимитов по операциям, контрагентам, видам деятельности;
· определения эффективности мероприятий по снижению рисков.
3.1.14 Методология оценки риска подлежит документированию в форме положения о порядке проведения оценки риска и утверждению единоличным исполнительным органом.
3.1.15 Мониторинг КПР, качественной и количественной оценки риска осуществляется риск-менеджером и структурными подразделениями периодически (ежемесячно, ежеквартально, ежегодно, по необходимости в зависимости от типов рисков). Отчеты, составленные риск-менеджером по результатам проведенного мониторинга, предоставляются:
· комитету Совета директоров;
· единоличному исполнительному органу;
· ответственному за СУР от руководства;
· директорам по направлениям, руководителям структурных подразделений;
· по запросу контрагентов.