Как часто происходит пересмотр параметров риска задокументированных ранее

О возможности подачи заявления об изменении присвоенных ранее категории риска или класса опасности

В соответствии со статьёй 8.1 Федерального закона от 26 декабря 2008 г. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», в целях оптимального использования трудовых, материальных и финансовых ресурсов, задействованных при осуществлении государственного контроля (надзора), снижения издержек юридических лиц, индивидуальных предпринимателей и повышения результативности своей деятельности, Роспотребнадзором при организации государственного контроля (надзора) применяется риск-ориентированный подход.

Риск-ориентированный подход представляет собой метод организации и осуществления государственного контроля (надзора), при котором выбор интенсивности (формы, продолжительности, периодичности) проведения мероприятий по контролю, мероприятий по профилактике нарушения обязательных требований определяется отнесением деятельности юридического лица, индивидуального предпринимателя и (или) используемых ими при осуществлении такой деятельности производственных объектов к определенной категории риска либо определенному классу (категории) опасности.

Правила отнесения деятельности юридических лиц, индивидуальных предпринимателей и (или) используемых ими производственных объектов к определенной категории риска, определенному классу (категории) опасности утверждены постановлением Правительства РФ от 17 августа 2016 г. N 806. и предусматривают возможность подачи юридическим лицом, индивидуальным предпринимателем заявления об изменении присвоенных им ранее категории риска или класса (категории) опасности.

Орган государственного контроля (надзора) в течение 3 рабочих дней со дня принятия решения, указанного в пункте 20 настоящих Правил, информирует юридическое лицо и индивидуального предпринимателя о принятом решении путем направления соответствующего уведомления по почтовому адресу, указанному в заявлении, или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица органа государственного контроля (надзора), по адресу электронной почты юридического лица или индивидуального предпринимателя, если такой адрес содержится соответственно в Едином государственном реестре юридических лиц, Едином государственном реестре индивидуальных предпринимателей либо был ранее представлен ими в орган государственного контроля (надзора).

В случае несогласия с принятым органом государственного контроля (надзора) решением об отказе в удовлетворении заявления юридическое лицо или индивидуальный предприниматель вправе обжаловать такое решение в административном и (или) судебном порядке.

Источник

Управление рисками: модель процесса и компетенций

Дмитрий Могилко

Асессор по модели EFQM

Партнёр ГК «Современные технологии управления» ()

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

Рис. 2. Диаграмма «галстук-бабочка»

Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

Примечание: объекты воздействия опасного события приведены для примера.

Таблица 3. Шкала оценивания вероятности наступления опасного события

Оценка вероятности, %	Качественная оценка вероятности, баллы
Очень высокая — 81–100	Очень высокая — 5
Высокая — 61–80	Высокая — 4
Средняя — 21–60	Средняя — 3
Низкая — 1–20	Низкая — 2
Очень низкая — менее 1	Очень низкая — 1

Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

Таблица 4. Матрица риска, ранги

Качественная оценка вероятности опасного события	Последствия
	Малозначительные (1)	Небольшие (2)	Умеренные (3)	Значительные (4)	Катастрофические (5)
Очень низкая (1)	1	2	3	4	5
Низкая (2)	2	4	6	8	10
Средняя (3)	3	6	9	12	15
Высокая (4)	4	8	12	16	20
Очень высокая (5)	5	10	15	20	25

Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

По результатам анализа определяется уровень риска в следующих интервалах:

После оценки риска наступает этап его обработки / модификации посредством:

Обработка риска включает следующие этапы:

Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

Основные требования к навыкам менеджеров по риску включают способности:

Оценка риска осуществляется группой, включающей следующие роли:

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Таблица 5. Основные параметры паспорта риска

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

Владелец риска (ответственный за менеджмент риска)

Риск-менеджеры (эксперты по оценке риска)

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

Заинтересованные (причастные) стороны, подверженные риску

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

Уровень (балл) последствий воздействия риска (опасного события)

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

Решение о необходимости обработки риска

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

Индикаторы мониторинга риска

Сведения о результативности и эффективности обработки риска (оценка и опыт)

Направления улучшения инфраструктуры риск-менеджмента

Периодичность актуализации оценки риска (реестра риска)

Дата актуализации сведений о риске (в реестре)

Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

Рис. 9. Лист «Риски» Excel-отчета по мониторингу

Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Источник

Новое в работе с клиентами по 115-ФЗ: причин для отказа в обслуживании стало больше

Во второй половине 2021 года законодательство о ПОД/ФТ вновь изменилось. Субъектов 115-ФЗ обязали проверять лицензии и сайты своих клиентов, а также отказывать в обслуживании тем, кто не предоставил сведения для идентификации.

Разбираемся, как соблюсти требования закона: какие лицензии проверять, что мониторить на сайтах организаций, как реагировать на нежелание клиента раскрывать бенефициара компании и другие вопросы.

Какие нормы вступили в силу

С конца июня по сентябрь 2021 года изменения в 115-ФЗ внесли сразу пять федеральных законов, вступило в силу новое Положение ЦБ РФ. Собрали главное в одну таблицу.

В cт. 3 сформулировали понятие «национальная оценка рисков». Законодатель трактует ее как деятельность, которую организуют уполномоченные органы, чтобы минимизировать риски легализации преступных доходов.

Выделили ст. 9.1, посвященную надзору в сфере ПОД/ФТ. Регуляторов стало больше, список пополнили:

Добавили обязанность обновлять сведения о бенефициарах по мере изменения информации, а не раз в год, как это было раньше (подп. 1 п. 3 ст. 6.1).

В закон ввели понятия «доверительный собственник иностранной структуры без образования юрлица» и «протектор» (ст. 3). Этих лиц нужно выявлять и идентифицировать при работе с иностранными структурами без образования юрлица.

Появились два дополнительных параметра для проверки юрлиц и ИП (п. 15. ст. 7):

Расширился список документов, которые можно использовать для идентификации физических лиц — нерезидентов. Чтобы подтвердить право иностранного гражданина или лица без гражданства находиться на территории РФ, можно использовать не только миграционную карту, но и другие документы (п. 1. ст. 7).

Закрепили обязанность по отказу клиентам в обслуживании без проведения идентификации (п. 2.2 ст. 7).

Положение ЦБ РФ от 30.03.2018 № 639-П утратило силу. Теперь компаниям, поднадзорным ЦБ РФ, нужно следовать нормам Положения ЦБ РФ от 15.07.2021 № 764-П.

Рассмотрим самые обсуждаемые изменения более подробно.

Как часто и какие лицензии проверять

Еще до вступления в силу изменений субъекты 115-ФЗ должны были проверять сведения о лицензиях. Однако требование ужесточили (п. 15. ст. 7).

Сейчас если у компании или ИП есть ОКВЭД, подлежащий лицензированию, но при этом нет лицензии, работать с клиентом нельзя. Смысл изменений в том, чтобы ограничить работу предпринимателей без необходимых разрешений.

Пока механизм проверки описан в законе недостаточно четко. Часть вопросов снял Банк России. Регулятор предоставил ответ на запрос участников рынка.

Как говорится в ответе ЦБ РФ, обновлять информацию о лицензиях нужно минимум раз в год или когда появились сомнения, что предоставленные клиентом сведения недостоверны. В этом случае на перепроверку информации дается 7 рабочих дней.

Призма предупредит вас, если деятельность клиента подлежит обязательному лицензированию

Сложным остается вопрос о том, какие ОКВЭД проверять: только основные или дополнительные тоже. Например, в ЕГРЮЛ организации два ОКВЭД. Оба подлежат лицензированию. При этом у компании есть только одна лицензия, по которой она и работает. По второму ОКВЭД деятельность не ведется. Что делать в такой ситуации?

В ответе на подобный вопрос регулятор подчеркивает, что закон не освобождает субъектов 115-ФЗ от проверки всех лицензий. Однако стоит выяснить, какую именно деятельность собирается вести клиент. Если выданная лицензия и специфика деятельности совпадают, то отказывать в обслуживании нет необходимости.

Представляется целесообразным исходить из заявленных клиентом целей установления и предполагаемом характере деловых отношений с управляющей компанией, а также о целях финансово-хозяйственной деятельности (о планируемых операциях).

Обратите внимание и на действующих клиентов. Если вы уже работаете с организацией без лицензии, а ее деятельность подлежит лицензированию, то нельзя проводить в пользу компании операции или оказывать услуги от ее имени. Однако запрет распространяется только на те случаи, когда клиент проводит операции в рамках лицензируемой деятельности.

Как проверять сайты организаций

Также в законе появилось требование сверять сайты клиентов с реестром запрещенных ресурсов (п. 15. ст. 7). При этом остается вопрос, в каких именно случаях отказывать в обслуживании.

Организациям, осуществляющим операции с денежными средствами или иным имуществом, запрещается принимать на обслуживание, а также осуществлять операции с денежными средствами и иным имуществом по поручению лиц, оказывающих услуги с использованием сайта в сети «Интернет», в случае, если доменное имя этого сайта, указатель страницы этого сайта содержатся в Едином реестре доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено.

Из статьи можно сделать вывод, что ограничения распространяются только на те сайты, которые используются для оказания услуг. Однако в российском законодательстве нет четко сформулированного понятия и критериев для такой деятельности. А значит, можно считать, что сайт любой компании так или иначе используется для оказания услуг.

Что делать, если клиент не раскрывает бенефициара компании

Новое требование обязало субъектов 115-ФЗ отказывать в обслуживании клиентам без проведения идентификации (п. 2.2 ст. 7). Чаще всего клиенты не хотят раскрывать информацию о бенефициаре компании. Некоторые ссылаются на то, что сами не обладают такими сведениями. Если получить нужную информацию не удастся, то клиенту придется отказать в обслуживании.

Помните, что клиент должен предоставить сведения о бенефициаре компании в объеме, который позволяет провести идентификацию полностью. Это не только ФИО, но и паспортные данные. Результаты идентификации бенефициара нужно зафиксировать в анкете. Обратите внимание, что в ней не должно быть пустых граф и прочерков.

Подробнее об идентификации клиентов и типичных ошибках мы писали в статье «Как проводить идентификацию клиентов по 115-ФЗ».

Еще одна поправка касается сроков обновления информации о бенефициарах. Зафиксируйте новые данные в анкете, как только они поменяются, а не раз в год, как это было раньше (подп. 1 п. 3 ст. 6.1). Например, сотрудник финмониторинга может узнать из СМИ, что в компании клиента сменился собственник. В этом случае нужно запросить подтверждение у клиента и внести новые данные в анкету.

Как оформить отказ в обслуживании

В связи с изменениями в законодательстве появились еще три причины для отказа в обслуживании клиентам:

Предоставьте клиенту официальное письмо об отказе в обслуживании. Затем отправьте об этом ФЭС в Росфинмониторинг. Не забудьте указать в сообщении причину отказа.

Светлана Кирланова, эксперт Контур.Призмы по законодательству в сфере ПОД/ФТ и комплаенс-рискам

Копирование и любая переработка материалов Контур.Журнала запрещены

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

С 1 июля 2021 года проверки будут проходить по новому закону.

В рамках масштабной реформы сферы контрольно-надзорной деятельности принят Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», устанавливающий новый порядок организации и осуществления государственного и муниципального контроля (далее – Закон № 248-ФЗ).

Под государственным и муниципальным контролем (надзором) в Законе № 248-ФЗ понимается деятельность контрольных (надзорных) органов, целью которой является предупреждение, выявление и пресечение нарушений обязательных требований. Достигается это за счет профилактики нарушений, оценки соблюдения гражданами и организациями обязательных требований, выявления нарушений, их пресечения и устранения последствий допущенных нарушений.

Закон № 148-ФЗ разграничивает полномочия органов государственной власти РФ, органов государственной власти субъектов РФ и органов местного самоуправления в сфере государственного и муниципального контроля (надзора). Кроме того, закон определяет права и обязанности контролеров и лиц, в отношении которых проводятся проверки. Цель закона – устранение недостатков действующих норм, регулирующих сферу проверок, а также снижение количества проверок бизнеса в качестве наиболее затратного способа контроля.

Все действия контролирующих органов по проведению контрольно-надзорных мероприятий будут отражаться в информационной системе.

Риск-ориентированный подход при проведении контрольно-надзорных мероприятий будет применяться значительно шире, чем сегодня. Он предполагает, что выбор профилактических и контрольных мероприятий, их содержание, объем, интенсивность и другие параметры зависят от оценки рисков причинения вреда (ущерба) охраняемым законом ценностям, если контролируемое лицо нарушит обязательные требования. Соответственно, чем выше такой риск, тем чаще и тщательнее будут проверять.

Закон № 248-ФЗ предусматривает новые способы контроля:

Предусмотрены новые виды профилактических мероприятий:

— меры стимулирования добросоветности;

— самообследование;

— профилактический визит.

Вступление в силу и переходные положения.

Закон № 248-ФЗ вступает в силу с 1 июля 2021 года (за исключением некоторых положений). Положения о видах регионального государственного контроля (надзора) и видах муниципального контроля на основе этого закона должны быть приняты не позднее 1 января 2022 года. До их утверждения будут применяться соответствующие положения, принятые по правилам, утвержденным Законом № 294-ФЗ.

Плановые проверки, проведение которых было запланировано на 2021 год, будут проводиться по плану, утвержденному в соответствии с Законом № 294-ФЗ. Организация, проведение и оформление результатов проверок, не завершенных на 1 июля 2021 года, будут осуществляться по правилам, действовавшим на дату начала этих проверок.

С 1 июля 2021 года вступает в силу Приказ Министерства экономического развития РФ от 31 марта 2021 г. N 151 «О типовых формах документов, используемых контрольным (надзорным) органом», которым утверждены Типовые формы решений о проведении контрольных (надзорных) мероприятий, актов контрольных (надзорных) мероприятий.

11 июня 2021 года принят Федеральный закон № 170-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с принятием Федерального закона «О государственном контроле (надзоре и муниципальном контроле в Российской Федерации)».

Источник

• через какое время делают повторное эко →

№	Параметр	Требования и рекомендации
1