● Регулирование риска (англ. risk management) – комплекс мероприятий, применяемых для поддержания приемлемого уровня рисков организации, направленных на их минимизацию и нейтрализацию их возможных последствий, что достигается комплексом мероприятий, предусматривающих диверсификацию, лимитирование[6], хеджирование[7], страхование, резервирование, передачу или распределение риска на контрагента, отказ от заключения сделки/проведения операций с неприемлемо высоким уровнем риска либо продажу активов.

● Мониторинг и контроль рисков (англ. monitoring and control of risks) – процесс регулярного анализа их показателей и факторов их возникновения, а также принятия решений, направленных на минимизацию риска при сохранении необходимого уровня прибыльности планируемой сделки либо операции. Мониторинг рисков проводится на постоянной основе с использованием разработанных организацией методик, а контроль рисков подразделяется на текущий (оперативный) контроль, осуществляемый на постоянной основе владельцем соответствующего бизнес-процесса, и общий контроль, функционирующий в рамках системы внутреннего контроля.

● Отчётность по управлению рисками (англ. risk management reporting) – завершающий этап управления рисками, предусматривающий раскрытие информации об уровне принимаемого риска и инструментарии по управлению им.

Система управления рисками строится как интегрированная система применения следующих инструментов и методов:

● методов идентификации и оценки уровня принимаемых рисков;

● инструментов установления лимитов и ограничений на основные финансовые инструменты и операции, а также процедуры их контроля;

● инструментов хеджирования и страхования рисков;

● методов распределения полномочий и ответственности на всех этапах принятия решений между структурными подразделениями и должностными лицами организации;

● инструментов мониторинга ключевых рисков и их периодической оценки, текущего и последующего контроля качества управления активами/пассивами и уровнем принимаемых рисков;

● инструментов составления и анализа отчётности об оценочных триггерах и принимаемых рисках;

● инструментов информационно-технологического обеспечения возможности учёта сделок/операций, подверженных рискам.

Управление рисками базируется на принципах открытости, осторожности, а также основывается на:

● осведомлённости о риске (англ. risk awareness), при которой все сотрудники организации, осуществляющие операции, сопряжённые с риском, осведомлены о риске операций, обладают необходимыми навыками его идентификации, анализа и оценки и минимизации[8];

● принципе обеспечения т. н. «трёх линий защиты» (англ. three lines of defense), состоящих из:

• первой линии (принятие рисков) (англ. first line (risk taking), в которой структурные подразделения, принимающие риски (бизнес-подразделения), должны стремиться к достижению поставленных задач по развитию бизнеса с учётом оптимального соотношения доходности и риска, осуществлять мониторинг решений по принятию риска, учитывать профили рисков, внедрять эффективные бизнес-процессы, участвовать в процессах идентификации и оценки рисков, соблюдать требования нормативных правовых документов;

• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;