УТВЕРЖДЕНЫ Решением Акционера № 120 от 31 июля 2008 г. Правила организации управления рисками в АО «Казахстанский фонд гарантирования депозитов» Правила организации управления рисками в АО «Казахстанский фонд гарантирования депозитов» (далее - Правила) разработаны в соответствии с Законом Республики Казахстан "Об обязательном гарантировании депозитов, размещенных в банках второго уровня Республики Казахстан», Уставом АО «Казахстанский фонд гарантирования депозитов» (далее –Фонд), другими нормативными правовыми актами Республики Казахстан. Правила разработаны в целях обеспечения единого (интегрированного) подхода к управлению рисками в Фонде. Глава 1. Основные понятия, используемые в Правилах 1. В настоящих Правилах используются следующие понятия (термины и определения): 1) аудиторская организация- организация, осуществляющая аудиторскую деятельность и оказывающая Фонду на договорной основе услуги по анализу и оценке уровня рисков, присущих деятельности Фонда, а также системы внутреннего контроля за осуществлением бизнес-процессов Фонда; 2) банк-участник - банк, являющийся участником системы обязательного гарантирования депозитов, обязательства которого по возврату привлеченных депозитов гарантируются в соответствии с законодательством Республики Казахстан; 3) владелец бизнес-процесса/подпроцесса – структурное подразделение Фонда, которое имеет в своем распоряжении ресурсы и входящие потоки бизнеспроцесса/подпроцесса, информацию о бизнес-процессе/подпроцессе, управляет его ходом и несет ответственность за исходящие результаты и эффективность бизнеспроцесса/подпроцесса; 4) контрольные меры (процедуры) – меры и действия, осуществляемые в целях реализации политики контроля, установленной руководством Фонда для решения поставленных задач. Различают следующие виды контрольных мер (процедур): превентивные меры – совокупность контрольных мер, направленных на предупреждение проявления рисков; меры обнаружения – совокупность контрольных мер, имеющих своей целью выявление присущих рисков для принятия соответствующих действий по их минимизации; меры исправления – совокупность контрольных мер, включающих завершающую стадию процесса внутреннего контроля и представляющих собой обоснованные методы воздействия на осуществление бизнес-процесса, в том числе, меры минимизации ущерба; 5) Комитет по управлению рисками Фонда – коллегиальный орган, возглавляемый Генеральным директором Фонда, в состав которого входят рискконтролеры структурных подразделений и заместители Генерального директора Фонда; 6) кредитный риск - риск финансовых потерь части активов Фонда в Республике Казахстан и/или за ее пределами вследствие неспособности или нежелания заемщика или контрпартнера исполнять свои обязательства своевременно и в полном объеме; 7) матрица оценки рисков бизнес-процесса – последовательное табличное описание бизнес-процесса с указанием уровня рисков, имеющихся контрольных мер и предложений по дальнейшим методам управления остаточными рисками; 8) операционный риск - риск финансовых потерь и/или негативного влияния на результаты деятельности Фонда, вызванных несовершенством внутренних процессов или поддерживающей инфраструктуры Фонда, мошенничеством или недостаточной квалификацией персонала Фонда, а также неблагоприятными внешними событиями не финансовой природы; 9) правовой риск - риск негативного влияния на результаты деятельности Фонда, обусловленный следующими факторами: - несовершенством правовой системы (противоречий в нормативных правовых актов, неурегулированности отдельных вопросов, возникающих в процессе деятельности Фонда); - принятием неблагоприятных для Фонда нормативных правовых актов (в том числе, внесением неблагоприятных изменений в действующие нормативные правовые акты); - нарушением Фондом требований законодательства, учредительных и внутренних документов Фонда; - несоответствием внутренних документов Фонда требованиям законодательства; - некачественной организации правовой работы; - нарушением Фондом условий заключенных договоров; 10) риск дефицита резерва возмещения Фонда - риск недостаточности средств специального резерва Фонда для выплаты гарантийного возмещения депозиторам принудительно ликвидируемых банков; 11) риск злоупотреблений - риск негативного влияния на результаты деятельности Фонда, сознательного нарушения действующих нормативных правовых актов Республики Казахстан работниками Фонда (мошенничество, растрата, кража или другие незаконные действия) или использования ими в личных целях сведений, полученных в рамках исполнения служебных обязанностей; 12) риск информационной безопасности - риск воздействия на информацию или поддерживающую ее инфраструктуру путем умышленных или случайных действий персонала и\или аппаратных средств Фонда, происшествий природного и технологического характера, в результате которого происходит нарушение целостности, доступности и конфиденциальности информации Фонда; 13) риск ликвидности – риск несовпадения сумм и сроков требований и обязательств, приводящий к задержке платежей или к кризису платежеспособности Фонда; 14) риск - контролер – должностное лицо подразделения Фонда, которое обеспечивает выявление и оценку рисков, оценку состояния внутреннего контроля, обновление матрицы оценки рисков бизнес процессов подразделения Фонда; 15) риск нарушения непрерывности деятельности - риск негативного влияния на результаты деятельности Фонда не обеспечения функционирования подразделений Фонда в период наступления обстоятельств непреодолимой силы (землетрясение, наводнение, ураган, сель, террористический акт, пожар и другие события), в том числе в связи со сбоем программно-технических средств и/или инфраструктуры связи; 16) риск ненадлежащего исполнения Фондом функции по выплате гарантийного возмещения – риск несвоевременной или некорректной выплаты гарантийного возмещения депозиторам принудительно ликвидируемого банка вследствие некачественного составления ликвидационной комиссией принудительно ликвидируемого банка реестра депозиторов с расчетом гарантийного возмещения по гарантируемым депозитам; 17) риск невозвратности средств специального резерва Фонда из ликвидационной массы принудительно ликвидируемого банка - риск неудовлетворения ликвидационной комиссией принудительно ликвидируемого банка требований Фонда по сумме выплаченного им возмещения по гарантируемым депозитам; 18) риск системного банковского кризиса – риск банкротства крупного банкаучастника или одновременного банкротства нескольких банков-участников; 19) риск отчетности - риск негативного влияния на результаты деятельности Фонда недостоверной отчетности; 20) риск персонала - риск негативного влияния на результаты деятельности Фонда недостаточного уровня квалификации работников Фонда и/или нерациональной организации их труда и/или ненадлежащего выполнения ими должностных обязанностей; 21) риск потери репутации – риск того, что действие или бездействие руководства или работников Фонда приведут к ухудшению имиджа Фонда в Республике Казахстан и/или за ее пределами; 22) рыночный риск - риск снижения стоимости активов Фонда вследствие изменения курсов, цен и ставок вознаграждения на финансовых рынках Республики Казахстан и/или за ее пределами. Различают следующие виды рыночного риска: валютный риск - риск снижения стоимости активов Фонда вследствие изменения курсов иностранных валют на финансовых рынках Республики Казахстан и/или за ее пределами; риск вознаграждения – риск снижения доходности активов Фонда или значительного возрастания расходов Фонда на выплату вознаграждения при одновременном уменьшении разности между доходами и расходами в результате изменения ставок вознаграждения на финансовых рынках Республики Казахстан и/или за ее пределами; ценовой риск - риск снижения стоимости активов Фонда вследствие изменения цен финансовых инструментов на финансовых рынках Республики Казахстан и/или за ее пределами; 23) риск технологий - риск негативного влияния на результаты деятельности Фонда несовершенства (в том числе, проблемы с адаптацией) используемых в Фонде технологий (пропускная способность, неадекватность методов обработки данных или материалов, неадекватность используемых данных и оборудования и другие несоответствия); 24) риск управления - риск негативного влияния на результаты деятельности Фонда неквалифицированного управления деятельностью подразделений Фонда и/или работников подразделений, 25) риск физической безопасности - риск негативного влияния на результаты деятельности Фонда вследствие неадекватной организации и\или осуществления охраны и физической защиты материальных и нематериальных ценностей; 26) стратегический риск – риск негативного влияния на результаты деятельности Фонда отсутствия или неверного выбора стратегии руководителями подразделений Фонда, руководством Фонда и/или органами управления Фонда по бизнес-процессам Фонда, и/или отсутствия согласованности действий органов управления Фонда при планировании и исполнении бизнес-процессов, в том числе неправильной расстановки приоритетов; 27) система внутреннего контроля – совокупность контрольных процедур и контрольной среды, действующих в Фонде; 28) системный риск - риск неисполнения либо ненадлежащего исполнения задач и функций, возложенных на Фонд законодательством Республики Казахстан, вызванный неблагоприятными внешними событиями, неподконтрольными Фонду; 29) финансовый риск – риск финансовых потерь Фонда по финансовым операциям Фонда в Республике Казахстан и/или за ее пределами; 30) управление риском (риск-менеджмент) – нахождение компромисса, направленного на достижение баланса между выгодами от уменьшения риска, необходимыми для этого затратами и возникающими рисками, а также принятие решения о том, какие действия для этого следует предпринять для минимизации рисков (включая отказ от каких бы то ни было действий). Различают следующие методы управления рисками: избежание риска – метод управления риском путем сознательного принятия решения и осуществления адекватных действий с целью не подвергаться определенному виду риска; перенос риска - метод управления риском путем перенесения риска на других субъектов. Различают следующие способы переноса риска: диверсификация риска - владение многими рискованными активами, вместо концентрации всех капиталовложений только в одном из них; страхование риска – уплата страховой премии с целью избежать убытков, сознательное принятие гарантированных издержек взамен вероятности понести гораздо больший ущерб, связанный с отсутствием страхования; хеджирование риска - действие, предпринятое для снижения риска понести убытки, одновременно приводящее к невозможности получить доход; минимизация риска - метод управления риском путем принятия действий для уменьшения вероятности потерь и минимизации последствий реализации риска, действия могут предприниматься до того, как ущерб был нанесен, во время нанесения ущерба и после того, как он случился; принятие риска - метод управления риском путем покрытия убытков за счет собственных ресурсов; 31) участник бизнес-процесса – подразделение Фонда, вовлеченное в осуществление одного из подпроцессов бизнес-процесса Фонда. Глава 2. Классификация бизнес-процессов и рисков Фонда. Классификация контрольных мер и методов управления рисками, принятых в Фонде § 1. Классификация бизнес-процессов Фонда 2. Различаются следующие типы бизнес-процессов: 1) стратегические; 2) вспомогательные; 3) другие. 3. Перечень бизнес-процессов Фонда, в разрезе их владельцев утверждается Генеральным директором Фонда и пересматривается в случае необходимости при изменении целей, задач и функций, возлагаемых на Фонд законодательством Республики Казахстан. 4. Бизнес-процессы Фонда подразделяются на соответствующие подпроцессы и процедуры. Подпроцессы, в свою очередь, также могут подразделяться на подпроцессы и процедуры и так далее по древовидной структуре. Неделимыми звеньями подпроцессов являются процедуры. 5. Деление на подпроцессы и процедуры проводится в соответствии с фактическим порядком осуществления бизнес-процесса, уровень детализации изложения подпроцессов и процедур определяет владелец бизнес-процесса. При этом детализация описания подпроцессов должна быть достаточной для выявления рисков, присущих бизнес-процессу/подпроцессу, но не настолько детальной, чтобы загромождать матрицу действиями исполнителей. § 2. Классификация рисков Фонда 6. В зависимости от источника возникновения и сферы влияния риска в Фонде принимается следующая классификация основных типов рисков Фонда: 1) системный риск; 2) стратегический риск; 3) финансовый риск; 4) операционный риск. Риск потери репутации Фонда является следствием реализации любого из этих видов риска. 7. Системный риск подразделяется на следующие виды рисков: 1) риск дефицита резерва возмещения Фонда; 2) риск ненадлежащего исполнения Фондом функции по выплате гарантийного возмещения; 3) риск невозвратности средств специального резерва Фонда из ликвидационной массы принудительно ликвидируемого банка; 4) риск системного банковского кризиса. 8. Стратегический риск принимается возможным как по стратегическим бизнеспроцессам Фонда (при инвестировании собственных активов, расчете дифферинцированных ставок банков-участников, выборе банка-агента и др.), так и по вспомогательным бизнес-процессам Фонда (в части политики управления персоналом, правил соблюдения техники безопасности и др.). 9. Финансовый риск подразделяется на следующие виды рисков: 1) рыночный риск; 2) риск ликвидности; 3) кредитный риск; В свою очередь, рыночный риск подразделяется на следующие виды рисков: 1) валютный риск; 2) риск вознаграждения; 3) ценовой риск. 10. Операционный риск подразделяется на следующие виды рисков: 1) правовой риск; 2) риск злоупотреблений; 3) риск нарушения непрерывности деятельности; 4) риск отчетности; 5) риск персонала; 6) риск технологий; 7) риск управления; 8) риск информационной безопасности, 9) риск физической безопасности. 10. Дерево рисков Фонда приведено в приложении 1 к Правилам. 11. Кодификация рисков приведена в приложении 2 к Правилам. § 3. Классификация контрольных мер подразделений Фонда и методов управления рисками Фонда 12. Контрольные меры, предпринимаемые подразделениями Фонда в целях управления рисками, классифицируются следующим образом: 1) превентивные меры; 2) меры обнаружения; 3) меры исправления. 13. При обнаружении рисков очень высокого, высокого и среднего уровней в деятельности подразделения Фонда по согласованию с органами управления и/или руководством Фонда подразделениями Фонда применяются следующие методы управления рисками: 1) избежание риска; 2) минимизация риска; 3) принятие риска; 4) перенос риска. 14. В зависимости от решения, принятого органами управления и/или руководством Фонда, перенос рисков очень высокого, высокого и среднего уровней осуществляется следующими способами: 1) диверсификация; 2) страхование; 3) хеджирование; 4) другие. 15. Риски низкого уровня подлежат постоянному мониторингу с целью своевременного принятия мер для предотвращения их перехода в риски более высокого уровня. Глава 3. Методика оценки рисков Фонда 16. Для оценки уровня рисков Фонда, принимается следующая классификация уровней рисков: 1) очень высокий; 2) высокий; 3) средний; 4) низкий. 17. Риск бизнес - процесса Фонда рассчитывается по следующей формуле (таблица 1 приложения 3 к Правилам): Р = У * В, где Р – уровень риска; У – уровень максимального ущерба от возникновения негативного события (реализации риска)1; В – степень вероятности возникновения максимального ущерба от наступления негативного события (реализации риска). 18. Для оценки уровня максимального ущерба в результате возникновения негативного события принимается следующая классификация уровней ущерба: 1) очень высокий; 2) высокий; 3) средний; 4) низкий. Уровень максимального ущерба от возникновения негативного события оценивается по таблице 2, приведенной в приложении 3 к Правилам. 19. Для определения степени вероятности реализации максимального ущерба от возникновения негативного события принимается следующая классификация уровней вероятности: 1) очень высокая; 2) высокая; 3) средняя; 4) низкая. 20. Степень вероятности реализации максимального ущерба от возникновения негативного события определяется как обратное уровню состояния системы внутреннего контроля за осуществлением деятельности по анализируемому бизнеспроцессу (таблица 3 приложения 3 к Правилам). 1 без учета предпринятых мер по его снижению 21. Для оценки уровня состояния системы внутреннего контроля по отслеживанию стратегических, финансовых и операционных рисков принимается следующая классификация уровней состояния системы внутреннего контроля в подразделении Фонда при осуществлении деятельности по анализируемому бизнеспроцессу: 1) надежная; 2) достаточная; 3) удовлетворительная; 4) требующая улучшения. Это означает, что в случае если система внутреннего контроля оценивается как: 1) надежная, то ей соответствует низкая вероятность реализации максимального ущерба в результате возникновения негативного события; 2) достаточная, то ей соответствует средняя вероятность реализации максимального ущерба в результате возникновения негативного события; 3) удовлетворительная, то ей соответствует высокая вероятность реализации максимального ущерба в результате возникновения негативного события; 4) требующая улучшения, то ей соответствует очень высокая вероятность реализации максимального ущерба в результате возникновения негативного события. 22. За величину уровня риска всего бизнес-процесса по одному виду риска принимается величина, рассчитываемая на основании суммы ущербов по независимым между собой подпроцессам и оценке состояния системы внутреннего контроля. Уровень ущерба определяется согласно таблице 2 приложения 3 к Правилам, далее оценивается система внутреннего контроля в соответствии с приложением 4 к Правилам. Вероятность реализации максимального ущерба от возникновения негативного события рассчитывается согласно таблице 3 приложения 3 к Правилам. 23. Оценка состояния внутреннего контроля в разрезе типов и выявленных видов стратегических, финансовых и операционных рисков определяется в зависимости от результатов тестирования системы внутреннего контроля, проведенного риск-контролером подразделения Фонда, согласно приложению 4 к Правилам. 24. Оценка состояния системы внутреннего контроля по отслеживанию системных рисков не производится, поскольку уровень таких рисков не зависит от состояния системы внутреннего контроля Фонда. 25. В приложениях 5, 6, 7, 8 к Правилам приведены перечни основных вопросов тестов эффективности контрольных мер в разрезе типов и выявленных видов рисков. Подразделения Фонда по согласованию с Комитетом по управлению рисками Фонда до момента проведения ежегодной оценки уровня рисков Фонда вправе ежегодно дополнять указанные тесты в соответствии с лучшей международной практикой и адаптировать их к специфике анализируемого бизнес-процесса Фонда. Глава 4. Порядок организации управления рисками в Фонде § 1. Ответственность участников процесса управления рисками в Фонде 26. Подразделение – владелец бизнес-процесса/подпроцесса Фонда несет ответственность за результаты бизнес-процесса/подпроцесса Фонда, в том числе за достижение целей бизнес-процесса/подпроцесса Фонда при минимизации уровня рисков, присущих осуществляемому бизнес-процессу/подпроцессу. При этом риск-контролер подразделения-владельца бизнес-процесса/ подпроцесса Фонда (далее -) несет ответственность за: 1) обеспечение выполнения целей и задач осуществляемого бизнес процесса/подпроцесса Фонда, в том числе при форс-мажорных обстоятельствах; 2) постоянный мониторинг хода осуществляемого бизнес процесса/подпроцесса Фонда; 3) совершенствование осуществляемого бизнес - процесса/подпроцесса Фонда в соответствии с лучшим международным опытом; 4) управление рисками, присущими осуществляемому бизнес процессу/подпроцессу Фонда. Указанные функции отражаются в соответствующих разделах положений о подразделениях – владельцах бизнес-процесса/подпроцесса Фонда. 27. В целях организации интегрированного подхода к управлению рисками руководитель структурного подразделения Фонда выполняет функции риск-контролера подразделения. В функции риск–контролера подразделения-участника бизнес-процесса входит: 1) составление и ежегодное обновление матрицы осуществляемого подпроцесса бизнес-процесса совместно с Комитетом по управлению рисками Фонда; 2) ежегодное тестирование эффективности имеющихся контрольных мер при осуществлении подпроцесса бизнес-процесса Фонда; 3) подготовка предварительных предложений по принятию подразделением Фонда дальнейших мер по минимизации уровня рисков, присущих подпроцессу бизнес-процесса Фонда при наличии рисков очень высокого, высокого и среднего уровней; 4) ежегодное представление подготовленной информации по подпроцессу в подразделение - владелец бизнес-процесса Фонда; В функции риск–контролера подразделения-владельца бизнес-процесса Фонда входит: 1) составление и ежегодное обновление укрупненной матрицы бизнес-процесса и предварительная оценка рисков курируемого бизнес-процесса совместно с Комитетом по управлению рисками Фонда; 2) ежегодное тестирование эффективности имеющихся контрольных мер при осуществлении подпроцессов бизнес-процесса, выполняемых самим подразделениемвладельцем бизнес-процесса; 3) ежегодная оценка состояния внутреннего контроля за осуществлением бизнес-процесса на основе результатов тестирования эффективности контрольных мер, выполненных подразделениями-участниками бизнес-процесса и подразделениемвладельцем бизнес-процесса; 4) подготовка сводных предложений по принятию подразделениями Фонда, участвующими в осуществлении бизнес-процесса, дальнейших мер по минимизации уровня рисков, присущих бизнес-процессу, при наличии рисков очень высокого, высокого и среднего уровней; 5) ежегодное представление подготовленной информации по бизнес-процессу Комитету по управлению рисками Фонда. Указанные функции отражаются в соответствующих разделах должностных инструкций риск - контролеров подразделений-участников бизнес-процесса и подразделений-владельцев бизнес-процесса. 28. В функции Комитета по управлению рисками Фонда входит: 1) ежегодная окончательная оценка рисков бизнес-процессов Фонда; 2) ежегодное составление единой карты рисков Фонда с отражением информации о наличии рисков очень высокого, высокого и среднего уровня в деятельности Фонда; 3) подготовка окончательных предложений по принятию подразделениями Фонда дальнейших мер по минимизации уровня рисков, присущих подпроцессу бизнес-процесса Фонда при наличии рисков очень высокого, высокого и среднего уровней; 4) мониторинг принятия подразделениями Фонда мер по управлению рисками, присущими бизнес-процессам/подпроцессам, осуществляемым подразделениями Фонда. § 2. Порядок оформления матрицы бизнес-процесса Фонда и оценки рисков подразделениями Фонда 29. На основании действующих нормативных правовых актов Республики Казахстан и фактически проводимых процедур риск - контролерами подразделений Фонда составляются матрицы бизнес-процессов и оценки рисков Фонда в разрезе бизнес-процессов, утвержденных Генеральным директором Фонда в Перечне бизнеспроцессов Фонда. 30. Матрица бизнес-процесса и оценки рисков (далее – матрица) содержит следующие документы: 1) Титульный лист; 2) Лист утверждения и согласования; 3) Термины и сокращения; 4) Матрицу бизнес-процесса и оценки рисков; 5) Приложения (тесты системы внутреннего контроля); 6) Лист регистрации изменений. 29. Титульный лист оформляется в соответствии с формой, приведенной в приложении 9 к Правилам. Титульный лист не входит в общее количество листов документа. 31. Лист утверждения и согласования предназначен для размещения утверждающих и согласующих подписей Генерального директора Фонда, курирующего заместителя Генерального директора Фонда, руководителя подразделения Фонда владельца бизнес- процесса и руководителей подразделений Фонда – владельцев подпроцессов. Лист утверждения и согласования оформляется в соответствии с формой, приведенной в приложении 10 к Правилам. 32. В разделе «Термины и сокращения» указываются определения, необходимые для уточнения или установления терминов, и сокращения, используемые в матрице. 33. Матрица заполняется при помощи табличного редактора Exсel в соответствии с формой, приведенной в приложении 11 к настоящим Правилам, и распечатывается на листах бумаги формата А-3. 34. В графе 2 матрицы указываются цели и задачи бизнес-процесса Фонда и его подпроцессов в соответствии с нормативными правовыми актами Республики Казахстан. 35. В графе 3 матрицы описываются подпроцессы и процедуры бизнес-процесса Фонда с учетом вложенности, а в графе 4 указывается подразделение – владелец бизнес-процесса/подпроцесса в соответствии с нормативными правовыми актами Фонда. 36. После описания подпроцессов и процедур бизнес-процесса в графах 5-7 матрицы описываются риски, присущие подпроцессам и процедурам бизнес-процесса в разрезе основных типов рисков по принятой в Фонде классификации рисков. Выявление риска проводится по принципу снизу вверх: первоначально выявляются риски, присущие процедурам. При этом, используется принцип: все риски, присущие процедурам, присущи любому подпроцессу более верхнего уровня. В случае, если фактический риск не подпадает под определение ни одного из рисков по принятой в Фонде классификации рисков, то описание риска должно быть детализировано (указан фактически подразумеваемый риск). 37. В графах 8-10 матрицы указываются результаты оценки максимально возможного ущерба от выявленных видов рисков, присущих описанному подпроцессу/процедуре бизнес-процесса в разрезе типов рисков в соответствии с таблицей 2 приложения 3 к Правилам. 38. В графах 11-13 матрицы указываются результаты тестирования системы внутреннего контроля в соответствии с приложением 4 Правил в разрезе типов и выявленных видов рисков. Тестирование проводится по тесту, разработанному на основании тестов, приведенных в Правилах, с учетом адаптации его к специфике анализируемого бизнес-процесса Фонда, и утвержденному владельцем бизнес-процесса Фонда. 39. В графах 14-16 матрицы указываются результаты оценки степени вероятности реализации максимально возможного ущерба от выявленных видов рисков, присущих описанному подпроцессу/процедуре бизнес-процесса в разрезе типов рисков в соответствии с таблицей 3 приложения 3 к Правилам. 40. В графах 17-19 матрицы указываются результаты оценки уровня рисков подпроцесса/процедуры рассматриваемого бизнес-процесса, рассчитанные в соответствии с таблицей 1 приложения 3 к Правилам. 41. В графах 20-22 матрицы приводится описание имеющихся мер минимизации уровня выявленных видов рисков в разрезе типов рисков и с отметкой вида мер. 42. В графах 23-25 матрицы описываются меры, предлагаемые подразделениями Фонда для управления выявленными рисками очень высокого, высокого и среднего уровней в разрезе типов рисков и с отметкой вида мер. 43. В графе 26 указываются нормативные правовые акты Республики Казахстан и другие документы, которые регламентируют выполнение подпроцесса/процедуры бизнес-процесса Фонда, и приводятся ссылки на соответствующие пункты. 44. В графе 27 приводятся наименования автоматизированных информационных подсистем, автоматизирующие осуществление подпроцесса/процедуры бизнеспроцесса Фонда. 45. В приложениях приводятся проведенные тесты эффективности контрольных мер. На первом листе приложений в правом верхнем углу пишется слово «приложение» с указанием номера и в тексте указывается номер приложения. 46. Лист регистрации изменений оформляется в соответствии с формой, приведенной в приложении 12 к Правилам. 47. Текст в документах должен быть набран с соблюдением единых требований к оформлению (шрифт Times New Roman размер 11, наименование бизнес-процесса и подпроцессов указываются черным жирным шрифтом. § 3. Порядок составления матрицы бизнес-процесса Фонда и оценки рисков подразделениями Фонда 48. Риск-контролерами подразделения Фонда с 1 июня ежегодно составляется или обновляется матрица осуществляемых подразделением подпроцессов бизнеспроцессов. 49. Одновременно осуществляется тестирование эффективности имеющихся контрольных мер по выполняемым подпроцессам бизнес-процессов. 50. Полученная информация к 1 июля направляется в подразделения-владельцы бизнес-процессов. 51. Риск-контролером подразделения-владельца бизнес-процесса составляется или обновляется укрупненная матрица бизнес-процесса в соответствии с требованиями пунктов 29-47 Правил. При этом по результатам тестирования эффективности контрольных мер, имеющихся в подразделениях-участниках бизнес-процесса, определяется оценка системы внутреннего контроля за осуществлением бизнеспроцесса и определяется предварительная оценка уровня рисков, присущих курируемому бизнес-процессу. 52. Подготовленная укрупненная матрица бизнес-процесса к 15 июля направляется в Комитет по управлению рисками Фонда для дальнейшего рассмотрения. § 4. Порядок подготовки сводной отчетности по рискам Фонда и представления ее Совету директоров Фонда 53. Аудиторская организация ежегодно до 1 августа проводит независимую оценку уровня рисков, присущих деятельности Фонда, а также оценку системы внутреннего контроля за осуществлением бизнес-процессов Фонда. 54. Комитет по управлению рисками на основе информации, поступившей от риск-контролеров подразделений Фонда, а также заключения аудиторской организации составляет единую карту рисков Фонда, проводит ее изучение и анализ, по результатам которых подтверждает или уточняет оценку рисков, рассчитанную риск-контролерами. В случае если владелец бизнес-процесса не согласен с установленным уровнем риска, им подготавливаются письменные возражения с указанием обоснования своего мнения. 55. Ежегодно в срок до 15 августа Комитет по управлению рисками представляет на рассмотрение Совета директоров Фонда матрицы стратегических, других и вспомогательных бизнес-процессов и рисков Фонда с указанием установленного уровня риска и единую карту рисков Фонда. 56. К данным документам прилагается краткий обзор рисков очень высокого, высокого и среднего уровней, имеющихся в деятельности Фонда, мероприятия по их минимизации, а также предложения по дальнейшему управлению данными рисками. При этом Комитетом по управлению рисками даются предложения по приоритетности распределения ресурсов для покрытия наиболее рисковых областей деятельности Фонда. 57. После рассмотрения Советом директоров Фонда данная информация направляется подразделению Фонда, ответственному за планирование и контроль бюджета, для применения в работе. 58. Подразделение Фонда, ответственное за планирование и контроль бюджета, учитывает представленную информацию по рискам и мероприятия по их минимизации, требующие финансирования, при составлении бюджета (сметы расходов) Фонда на следующий год в целях обеспечения оптимального и эффективного использования ресурсов Фонда. 59. Утвержденные Комитетом по управлению рисками укрупненные матрицы бизнес-процессов Фонда и единая карта рисков Фонда в срок до 1 сентября представляется в Департамент внутреннего аудита Национального Банка Республики Казахстан для составления укрупненной матрицы бизнес-процесса Национального Банка Республики Казахстан 60. Координация работы с Департаментом внутреннего аудита Национального Банка Республики Казахстан при составлении укрупненной матрицы бизнес-процесса Национального Банка Республики Казахстан возлагается на ответственное лицо, назначаемое приказом Генерального директора Фонда. 61. Первый экземпляр укрупненной матрицы бизнес-процесса Фонда хранится в подразделении - владельце бизнес-процесса, остальные - в подразделениях - участниках бизнес-процесса. § 5. Порядок принятия мер по управлению рисками 62. В зависимости от установленных степеней вероятности и величины максимального ущерба выявленного риска подразделением Фонда выбираются меры его минимизации в соответствии с приложением 13 к Правилам, за исключением системных рисков, по которым Фонд не может в полной мере принять превентивные меры. 63. При выявлении подразделениями Фонда рисков с очень высокой или высокой величиной ущерба и с очень высокой или высокой степенью вероятности подразделениями Фонда принимаются меры обнаружения и превентивные меры. 64. При выявлении подразделениями Фонда рисков с очень высокой или высокой величиной ущерба и со средней или низкой вероятностью возникновения подразделениями Фонда принимаются меры обнаружения, и проверяется наличие формализованных планов действий на случай реализации данных рисков. 65. При выявлении подразделениями Фонда рисков со средней или низкой величиной ущерба, но с очень высокой или высокой степенью вероятности возникновения подразделениями Фонда принимаются превентивные меры в виде усиления контрольных процедур при осуществлении соответствующих бизнеспроцессов/подпроцессов/процедур.