УТВЕРЖДЕНО Советом директоров ОАО «Мосэнергобиржа» (протокол от 13.09.2013 № 7) Положение о мерах по снижению рисков, связанных с деятельностью организатора торговли (Правила управления рисками) ОАО «Мосэнергобиржа» (новая редакция № 1) Москва 2013 2 1. Общие положения 1.1. Настоящее Положение о мерах по снижению рисков, связанных с деятельностью организатора торговли (Правила управления рисками) Открытого акционерного общества «Московская энергетическая биржа» (далее - Положение) является внутренним документом Открытого акционерного общества «Московская энергетическая биржа» (далее - Биржа) и определяет комплекс взаимосвязанных мер по управлению рисками, возникающими в процессе осуществления Биржей деятельности организатора торгов, в том числе при совмещении различных видов деятельности. 1.2. Основными целями настоящего Положения являются: 1.2.1. снижение рисков Биржи при организации проведения организованных торгов; 1.2.2. выполнение требований Службы Банка России по финансовым рынкам по учету и введению в практику работы Биржи норм, обеспечивающих снижение рисков связанных с деятельностью организатора торгов. 1.3. Настоящее Положение разработано в соответствии с законом Федеральным законом от 21.11.2011 № 325-ФЗ «Об организованных торгах» (далее – Федеральный закон «Об организованных торгах») и принятыми в соответствии с ним нормативно-правовыми актами. 2. В настоящем Положении используются следующие термины и определения Риск - возможность (вероятность) понесения потерь и (или) ухудшения положения вследствие наступления неблагоприятных событий, связанных с внутренними и (или) внешними факторами. Меры - действия и мероприятия, направленные на предотвращение возникновения рисков при осуществлении деятельности организатора торгов. 3. Основные риски, управление которыми осуществляется Биржей 3.1. Регуляторный риск – риск возникновения расходов (убытков) в результате несоответствия Биржи, а также осуществляемой ею деятельности требованиям Федерального закона «Об организованных торгах» и принятых в соответствии с ним нормативных правовых актов, а также устава и внутренних документов Биржи, связанных с деятельностью организатора торговли. 3.2. Операционный риск – риск возникновения расходов (убытков) Биржи в связи с осуществлением деятельности, предусмотренной Федеральным законом от «Об организованных торгах», в результате нарушения нормальной работы структурных подразделений Биржи, штатной работы программно-технических средств Биржи, правил и требований к совершению Биржей операций, в том числе по причине ошибок, недобросовестных или умышленных действий сотрудников Биржи, технических сбоев, а также влияния внешних обстоятельств. В целях настоящего Положения операционный риск рассматривается в части следующих элементов: 3.2.1. риск ошибок и сбоев программно-технических систем, систем коммуникаций, безопасности, программного обеспечения, в том числе в результате действия "вирусов"; 3.2.2. риск ошибок персонала, в том числе просчетов, ошибок ввода данных, неверной интерпретации инструкций и поручений и тому подобное; 3.2.3. риск бизнес-процессов и процедур (в том числе в части внутреннего контроля), связанный с их нечеткостью и неэффективностью, приводящей к ущербу для Биржи и/или ее участников; 3.2.4. риск мошеннических действий сотрудников Биржи или третьих лиц, в том числе: риск вовлечения Биржи в коммерческие взаимоотношения с теневой или криминальной экономикой; 3 риск преднамеренного проведения и сокрытия результатов торгов; риск неправомерного использования инсайдерской информации и манипулирования рынком; риск ущерба от незаконного присвоения материальных ценностей, принадлежащих Бирже; риск ущерба от ввода в компьютерные программы и системы мошеннически подготовленных или видоизмененных данных или команд, утери или уничтожения электронных данных в компьютерных сетях Биржи. 3.2.5. риск неправомерного использования инсайдерской информации и/или манипулирования рынком; 3.2.6. риск нанесения ущерба имуществу Биржи и/или незаконного присвоения материальных ценностей. 3.3. Риск потери деловой репутации – риск возникновения расходов (убытков) Биржи в результате уменьшения числа участников торгов или уменьшения объема торгов вследствие формирования в обществе негативного представления об операционной (технической) устойчивости Биржи, качестве оказываемых ею услуг или характере деятельности в целом. 3.4. Риск банкротства (неплатежеспособности) – риски, влияющие на жизнеспособность Биржи в долгосрочном плане и неспособности рассчитываться по взятым на себя обязательствам. 3.5. Риск, связанный с совмещением различных видов деятельности - связан с возможностью возникновения конфликта интересов в результате совмещения организатором торгов различных видов деятельности. 3.6. Стратегический риск – риск возникновения расходов (убытков) Биржи в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегию деятельности и развития Биржи. 4. Идентификация, оценка и мониторинг рисков 4.1. Идентификация, оценка и мониторинг рисков, предусмотренными разделом 3 настоящего Положения (далее – Риски), осуществляется должностным лицом, ответственным за управление Рисками – риск-менеджером, а в случаях, установленных законодательством Российской Федерации или настоящим Положением, - также органами управления, иными структурными подразделениями и должностными лицами Биржи. 4.2. В деятельности Биржи на постоянной основе осуществляется: 4.2.1. выявление областей возникновения Рисков; 4.2.2. идентификация Рисков; 4.2.3. оценка и контроль Рисков; оценка каждого из Рисков должна осуществляться исходя из вероятности его наступления и воздействия на деятельность Биржи. 4.3. В целях управления Рисками Биржей также: 4.3.1. организуется обмен информацией между органами управления и структурными подразделениями Биржи по вопросам, связанным с выявлением, идентификацией, оценкой Рисков и контролем за ними, а также реализацией мер, направленных на снижение Рисков и предотвращение последствий реализации Рисков; 4.3.2. обеспечивается своевременное принятие органами управления и должностными лицами Биржи решений, необходимых для снижения Рисков, а также устранения последствий их реализации; 4.3.3. обеспечивается контроль за эффективностью управления Рисками и соответствие предпринимаемых мер по управлению Рисками характеру и масштабу деятельности Биржи; 4.3.4. проводится обучение (консультации) сотрудников Биржи по вопросам выявления, идентификации и оценки Рисков, а также контроля за ними. 4 4.3.5. Предпринимаются иные разумные и достаточные меры по идентификации, оценке и мониторингу Рисков. 5. Меры, направленные на выявление, объективную оценку, мониторинг, контроль и минимизацию Рисков (на Управление рисками) 5.1. Регуляторный риск 5.1.1. В рамках системы мер по минимизации правовых рисков при осуществлении деятельности Биржа использует следующие механизмы и методы: проведение на постоянной основе мониторинга изменений законодательства Российской Федерации, нормативных актов государственных органов Российской Федерации; своевременное вынесение предложений по изменению внутренних документов Генеральному директору Биржи; установление внутреннего порядка согласования (визирования) документов; осуществление анализа влияния факторов правового риска (как в совокупности, так и в разрезе их классификации) на показатели деятельности Биржи в целом; обеспечение наличия у максимального количества сотрудников Биржи постоянного доступа к актуальной информации по законодательству и внутренним документам Биржи; стимулирование сотрудников Биржи или применение к ним дисциплинарных взысканий в зависимости от влияния их деятельности на уровень правового риска; соблюдение порядка и сроков раскрытия информации, установленных законодательством Российской Федерации; соответствие материалов Биржи, содержащих рекламу, требованиям законодательства Российской Федерации; исполнение предписаний Службы Банка России по финансовым рынкам, а также соблюдение требований законодательства Российской Федерации в случае приостановления действия лицензии, выданной Бирже; взаимодействие с государственными органами, регулирующими деятельность Биржи, в том числе путем участия в работе создаваемых ими комитетах, комиссиях и т.д. 5.1.2. При управлении регуляторным риском риск-менеджер: осуществляет оценку регуляторного риска организатора торговли с учетом вероятности его наступления и влияния на деятельность по проведению организованных торгов; дает рекомендации органам управления, должностным лицам, в том числе руководителям структурных подразделений Биржи, о мерах, которые необходимо предпринять для устранения регуляторного риска; осуществляет контроль выполнения мер, направленных на устранение регуляторного риска; предоставляет информацию о регуляторном риске Правлению и Генеральному директору Биржи; обеспечивает доведение до сотрудников Биржи информации, необходимой для снижения регуляторного риска, в том числе проводит обучение и консультации по вопросам, связанным с регулированием деятельности Биржи нормативными правовыми актами, а также внутренними документами Биржи; участвует в разработке документов, которые регламентируют осуществление деятельности организатора торговли; участвует в рассмотрении жалоб и запросов участников торгов и заявлений третьих лиц, связанных с осуществлением деятельности по организации торговли; принимает меры, направленные на обеспечение конфиденциальности информации, полученной в процессе управления регуляторным риском. 5.2. Информация о регуляторном риске предоставляется риск-менеджером Правлению и Генеральному директору Биржи в виде отчетов по итогам проверок деятельности (операций) 5 Биржи, в форме ежеквартальных отчетов, а также в иных формах, предусмотренных внутренними документами Биржи. 5.3. Операционный риск 5.3.1. Управление Биржей операционным риском осуществляется, исходя из следующих принципов: ключевая роль совета директоров в формировании и обеспечении развитой культуры управления операционным риском на всех уровнях организации; использование системы управления, полностью интегрированной в общий процесс управления Рисками; разработка и анализ системы управления рисками и осуществление Советом директоров контроля над исполнительными органами; четкая, эффективная и надежная управленческая структура с точно определенными, прозрачными и непротиворечивыми сферами компетенции; обеспечение выявления и оценки операционного риска с целью четкого понимания природы и факторов риска; обеспечение одобрения нововведений с учетом операционных рисков; регулярный мониторинг операционного риска, включая систему отчетности подразделений; наличие надежной системы внутреннего контроля, а также надлежащей системы снижения или передачи риска; разработка планов обеспечения непрерывности и восстановления деятельности в случае реализации операционных рисков. 5.3.2. В рамках системы мер по минимизации операционного риска при осуществлении деятельности Биржа использует следующие механизмы и методы: мониторинг управленческих процедур и бизнес-процессов на предмет обеспечения их эффективности; обеспечение процедур безопасности и контроля (криптография, кодирование, защита от несанкционированного доступа во время передачи или хранения информации, ограничивающее доступ к данным программное обеспечение, аутентификация и авторизация участников, отчетность о нарушениях); обеспечение долгосрочного планирования информационных и компьютерных систем, спецификации требований к ним, выбора поставщиков и контроля за проектами создания систем и технологий обработки и передачи данных для Биржи; обеспечение процедур бесперебойного функционирования программно-технических средств, в том числе: - использование отказоустойчивых решений в серверной инфраструктуре с автоматическими процедурами перехода на резервное оборудование; - использование резервирования вводов электроэнергии для питания центра обработки данных. В случае использовании стороннего центра обработки данных, резервирование электропитания является обязательным условием при заключении договора на размещение оборудования; - использование резервных каналов связи для доступа к информационным биржевым сервисам с автоматическими процедурами переключения на резервные каналы; - использование отказоустойчивой сетевой инфраструктуры процедурами перехода на резервное оборудование. с автоматизированными 5.3.3. обеспечение ограничения негативного влияния наступившего операционного риска (дублирующие мощности в телекоммуникациях и вычислительных сетях, процедуры расчистки данных в случае ошибок, несанкционированных замен данных и разрушения математического обеспечения и компьютерного и телекоммуникационного оборудования); 6 5.3.4. своевременное информирование участников торгов о товарах и финансовых инструментах, допущенных к торгам, а также нормативно-правовом регулировании процесса организации торгов, и вносимых в него изменениях. 5.3.5. повышение компетентности персонала Биржи. 5.3.6. обеспечение доступа персонала только к сведениям, необходимым для выполнения прямых служебных обязанностей в пределах предоставленных полномочий; ограничение доступа к путем использования возможностей программного обеспечения: наличие систем разграничения доступа к разным уровням баз данных и операционной среды на уровне локальной сети; доступ к данным только с определенных автоматизированных рабочих мест (запрет либо ограничение на использование удаленного доступа к данным); 5.3.7. определение информации, подлежащую обработке на ЭВМ, ее объемов, структуры, макетов и схем ввода, обработки, хранения и выдачи информации, методов ее контроля; 5.3.8. осуществление контроля за операциями с биржевыми товарами и финансовыми инструментами, осуществляемыми на организованных Биржей торгах, имеющими признаки неправомерного использования инсайдерской информации и (или) манипулирования рынком; 5.3.9. размещение имущества Биржи в помещениях, доступ в которые регулируется пропускным режимом; 5.3.10. обеспечение фиксации и обработки информации о фактах нарушения нормальной работы структурных подразделений организатора торговли, штатной работы программно-технических средств, правил и требований к осуществлению деятельности по организации торговли, которые могли привести (привели) к расходам (убыткам) Биржи, а также оценку таких расходов (убытков); 5.3.11 осуществляет ведение информационной базы, содержащей сведения о фактах, указанных в подпункте 5.2.12 настоящего пункта; 5.3.12. осуществляет стресс-тестирование программно-технических средств, используемых для осуществления деятельности по организации торговли. Испытательные работы (тестирование) средств проведения организованных торгов осуществляются путем имитации технических условий, в которых проводятся реальные организованные торги, а при необходимости - путем проведения пробной эксплуатации. 5.4. Риск потери деловой репутации 5.4.1. В целях управления риском потери деловой репутации организатора торговли Биржа разрабатывает системы информационного обеспечения, не позволяющие использовать информацию, имеющуюся в организаторе торговли, в ущерб деловой репутации организатора торговли, а также обеспечивающие своевременное предоставление органам управления организатора торговли информации о негативных и позитивных отзывах о Бирже, в том числе содержащихся в сообщениях и материалах, распространенных средствами массовой информации, размещенных в информационно-телекоммуникационной сети "Интернет" и иных источниках. 5.4.2. В целях минимизации риска потери деловой репутации Биржа использует следующие методы: осуществление анализа влияния факторов репутационного риска (как в совокупности, так и в разрезе их классификации) на показатели деятельности Биржи в целом; проведение мониторинга деловой репутации контрагентов Биржи, в том числе акционеров, аффилированных лиц; контроль за достоверностью бухгалтерской отчетности и иной публикуемой информации, представляемой акционерам, участникам и контрагентам, органам регулирования и надзора и другим заинтересованным лицам, в том числе в рекламных целях; обеспечение постоянного повышения квалификации сотрудников Биржи; стимулирование сотрудников Биржи или применение к ним дисциплинарных взысканий в зависимости от влияния их деятельности на уровень репутационного риска. обеспечение полноты, своевременности и достоверности раскрытия информации в соответствии с требованиями действующего законодательства и внутренних документов 7 Биржи. 5.5. Риск банкротства Биржи Для снижения риска банкротства Биржа принимает следующие меры: проведение периодического анализа финансового положения Биржи; осуществление эффективной бюджетной политики Биржи, в том числе по оптимизации структуры и объема расходов Биржи; проведение мероприятий, способствующих увеличению количества участников торгов и партнеров; формирование предложений акционерам Биржи по использованию полученной прибыли; повышение конкурентоспособности, в том числе путем допуска к организованным торгам новых финансовых инструментов и товаров, усовершенствование программного обеспечения, используемого для организации торгов; результативная кадровая политика; другие меры, которые поспособствуют организатору торгов в необходимости предотвращения возникшей угрозы наступления банкротства и продолжения успешной работы на рынке. 5.6. Риск, связанный с совмещением различных видов деятельности В случае совмещения Биржей деятельности по организации торговли с видами профессиональной деятельности на рынке ценных бумаг должностное лицо (отдельное структурное подразделение), ответственное за управление Рисками, может также осуществлять функции: по контролю за реализацией правил внутреннего контроля, разрабатываемых в целях предотвращения легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма; по контролю за осуществлением профессиональной деятельности на рынке ценных бумаг. 5.7. Стратегический риск В целях управления стратегическим риском, при осуществлении долгосрочного планирования развития деятельности организатора торговли (включая планы по увеличению баланса и прибыли, усложнению операционной структуры, расширению бизнеса, введению новых продуктов и направлений деятельности Биржи и др.). 5.8. Осуществление контроля соблюдения реализации вышеуказанных мер, возложено на рискменеджера в установленном порядке. 6. Проверка эффективности управления Рисками 6.1. Риск-менеджер ежеквартально проводит проверку эффективности управления рисками в порядке, установленном действующим законодательством и внутренними документами Биржи. 6.2. Ежеквартальный отчет риск-менеджера, предоставляется Правлению и Генеральному директору Биржи не позднее 30 (тридцати) дней с даты окончания очередного квартала. 6.3. ежеквартальный отчет должностного лица (отдельного структурного подразделения), ответственного за управление Рисками, должен содержать: оценку Рисков по основным направлениям деятельности Биржи, ее обоснование, включая сведения о нарушениях Биржей требований Федерального закона «Об организованных торгах», принятых в соответствии с ним нормативных правовых, устава и внутренних документов Биржи, связанных с деятельностью по организации торговли; меры, принятые Биржей для устранения выявленных нарушений и снижения Рисков; сведения о выполнении рекомендаций риск-менеджера. 8 6.4. Отчет риск-менеджера о выявленном нарушении предоставляется Правлению и Генеральному директору Биржи не позднее 10 (десяти) дней с даты выявления соответствующего нарушения. 6.5. Структурные подразделения своевременно уведомляются риск-менеджером о Рисках в соответствии с их компетенцией. 7. Меры по обеспечению конфиденциальности информации о Рисках, в том числе конфиденциальности отчетов риск-менеджера: ограничение доступа посторонних лиц в помещения подразделений Биржи, предназначенные для осуществления деятельности по организации биржевой торговли или эксплуатации информационно-технических систем; разграничение прав доступа при вводе и обработке данных; защита рабочих мест и мест хранения документов от беспрепятственного доступа и наблюдения; иные меры, предусмотренные действующим законодательством и внутренними документами Биржи. 8. Стресс-тестирование программно-технических средств, используемых для осуществления деятельности по организации торговли 8.1. Стресс-тестирование программно-технических средств, используемых для осуществления деятельности по организации торговли, осуществляется с периодичностью не реже одного раза в 6 месяцев. 8.2. Требования к сценариям, используемым для тестирования, утверждаются Генеральным директором Биржи и должны предусматривать возможности имитации: технических условий, в которых проводятся реальные организованные торги; повышения нагрузки на программно-аппаратные средства в виде увеличения количества участников торгов и числа транзакций; нештатных ситуаций и обстоятельств непреодолимой силы (форс-мажорных обстоятельств); принудительного перехода на резервные аппаратные средства и каналы связи. 9. Контроль и ответственность 9.1. Риск-менеджер вправе требовать у сотрудников и должностных лиц Биржи предоставления информации (документов), в том числе письменных объяснений, по вопросам, возникающим в ходе выполнения им своих обязанностей. 9.2. Контроль за исполнением требований, изложенных в настоящем Положении, возлагается на риск-менеджера. 9.3. Контроль за исполнением Правил биржевой торговли и иных внутренних документов Биржи осуществляется Генеральным директором.