Риск ориентированный подход — что это?

Риск ориентированный подход — что это?

Автор вСправочник

Простыми словами 14 марта 2018 Г. 15:28,

В начале марта в послании Федеральному Собранию Владимир Путин заявил, что систему контроля и надзора в течение двух лет необходимо перевести на риск-ориентированный подход. На данный момент проходит контрольно-надзорной деятельности, она была утверждена в декабре 2016 года, срок реализации – до 2025 года.
Что такое этот риск-ориентированный подход? Расскажем в новом тексте Milknews в рубрики «Простыми словами”.
Риск-ориентированный подход применяется в контрольно-надзорной деятельности и предполагает снижение количества государственных проверок в зонах, где риск нарушений меньше. Таким образом он должен снизить административную нагрузку на добросовестные предприятия.
Суть риск-ориентированного подхода в любой сфере заключается в снижении рисков: контроль в зонах повышенного риска растет, а в более безопасных зонах — снижается или отсутствует. Это позволяет вовремя принимать необходимые меры там, где это необходимо и в значительной мере экономить ресурсы. Таким образом, ресурсы распределяются неравномерно, в зависимости от риска, причем это влияет как на частоту, так и на глубину проверок.
Как это работает сейчас?
На данный момент риск-ориентированный подход проявляется в том, что в отношении небольшого компании надзорный орган может ограничиться самой простой процедурой оценки рисков, а к большим учреждениям будет применяться более комплексная проверка.
Сам подход к управлению рисками изначально появился в финансовом секторе, деятельность участников которого предполагает значительные риски – банки, страховщики, инвестиционные фонды стремятся управлять ими для установления цен на свои услуги. Ставки по кредитам, стоимость ценных бумаг и размеры страховых премий напрямую зависят от рисков, которые берет на себя компания.
Благодаря изначальной схожести работы отделов управления рисками в финансовых компаниях и служб внутреннего контроля риск-ориентированный подход внедрился сначала в традиционный аудит, а затем и в прочие виды контроля и надзора, в том числе в государственный.
Одновременно с этим произошло упрощение системы – если в финансовом секторе используются экономико-математические модели просчета рисков с точностью до десятых процента, то в других областях достаточно разделить риски на группы опасности, что мы и видим сейчас в деятельности контрольных ведомств.
Где это прописано?
Применение подхода при организации государственного контроля закреплено в статье 8.1 от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Основная его цель – оптимальное использование трудовых, материальных и финансовых ресурсов при осуществлении госконтроля, снижение издержек для тех, кого контролируют и повышение результативности проверок.
Для реализации подхода в государственном надзоре используется следующая классификация уровней опасности:

  • низкий,
  • умеренный,
  • средний,
  • значительный,
  • высокий,
  • чрезвычайно высокий.

Это базовая модель, ведомства могут «подстраивать” ее под себя, видоизменяя. Отнесение к той или иной категории рисков зависит от вероятности негативных последствий, масштаба их распространения, а также трудности их разрешения. Если объект относят к чрезвычайно высокому, высокому и значительному классу опасности, орган госконтроля размещает информацию о нем на сайте – так проявляется обещанный принцип открытости, исключающий «заказные» проверки.
Как подход меняет работу ведомств?
Россельхознадзор
В деятельности Россельхознадзора риск-ориентированный подход используется в государственном земельном контроле, карантинном фитосанитарном контроле, а также к ветеринарном надзоре и ветконтроле на границе.
В своем Заместитель руководителя Федеральной службы по ветеринарному и фитосанитарному надзору Николай Власов отмечает, что ведомство готовилось к реформе и еще в 2007 году задалась вопросом оптимизации контрольно-надзорной деятельности, однако не смогло избежать трудностей при переходе.
Первой проблемой стали критерии оценки риска: было неясно, в каком случае применять выборочную проверку, а в каком проводить тотальный контроль.
Второй проблемой стал доступ к данным об организациях – до реформы не было системы регистрации предприятий как имущественного комплекса, была только система регистрации предприятий как субъектов хозяйственной деятельности. В связи с этим у надзорного органа возникала проблема, когда у большого аграрного холдинга с множеством площадок (к каждой из которых применяются отдельные методы контроля) был один ИНН, и было сложно контролировать виды деятельности в реестре.
С сентября 2017 года риск-ориентированный подход применяется при проверке юридических лиц и индивидуальных предпринимателей в отношении земель сельхозназначения, для них устанавливаются критерии отнесения объектов государственного надзора к определенной категории риска, периодичность проведения плановых проверок в зависимости от присвоенной категории. Введены три категории риска: средняя, умеренная и низкая.
В отношении земельных участков, отнесенных к средней категории риска, устанавливается периодичность проведения плановых проверок не чаще чем один раз в три года. Периодичность проведения плановых проверок для земельных участков категории умеренного риска, – не чаще чем один раз в пять лет, а в отношении участков, отнесенных к категории низкого риска, плановые проверки не проводятся.
За 2017 год Россельхознадзор разработал вышеперечисленные критерии, утвердил их, а также подготовил обоснование отнесения объектов к категориям в соответствии с базовой моделью определения критериев и категорий риска.
Для развития применения риск-ориентированного подхода в сфере земельного надзора Россельхознадзор дорабатывает информационную систему «Цербер» для создания и ведения реестров поднадзорных объектов. В текущем году плановые проверки юрлиц и ИП уже сформированы с учетом критериев риска.
Также ведомством применяется форма проверочного листа – списка контрольных вопросов, предъявляемых к проверяемому. На их основе юридическое лицо или индивидуальный предприниматель может самостоятельно, еще до проверки оценить соответствие объекта к классу опасности.
Указанная форма проверочного листа утверждена приказом Россельхознадзора от 18.09.2017 № 908 «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого должностными лицами территориальных органов Федеральной службы по ветеринарному и фитосанитарному надзору при проведении плановых проверок в рамках осуществления государственного земельного надзора», приказ вступил в силу в декабре 2017. С этого момента Россельхознадзор и его территориальные управления применяют проверочные листы во всех плановых проверках.
Роспотребнадзор
Роспотребнадзор одним из первых федеральных органов исполнительной власти в 2014 году приступил в внедрению риск-ориентированного надзора. Количество проведенных Роспотребнадзором проверок с 2008 по 2015 год сократилось в 4 раза: с более чем 1 млн. проверок до 265 тысяч (количество плановых проверок снизилось в 7,5 раз, внеплановых — в 2,2 раза).
Проект соответствующего правительственного постановления на Едином портале для размещения проектов НПА.
В отношении проверяемых при расчете риска учитывается:

  • гигиеническая значимость,
  • законопослушность (количество выявленных правонарушений),
  • население, находящееся под воздействием,
  • объемы выпускаемой продукции или оказанных услуг и т. д.

Выявление большого количества правонарушений автоматически повышает класс опасности поднадзорного объекта, т.е. уровень опасности зависит не только от соответствия критериям.
Распределение объектов по категориям рисков в деятельности Федеральной службы по надзору в сфере защиты прав потребителей происходит следующим образом:

  • в случае если показатель потенциального риска причинения вреда в имущественном выражении составляет более 10 млн. руб., то организации или ИП будет соответствовать чрезвычайно высокий риск;
  • в случае если показатель потенциального риска причинения вреда составляет от 1 млн. руб. до 10 млн. руб., — высокий риск;
  • от 100 тыс. руб. до 1 млн. руб. — значительный риск
  • от 10 тыс. руб. до 100 тыс. руб., — средний риск;
  • от 1 тыс. руб. до 10 тыс. руб. – умеренный риск;
  • менее 1 тыс. руб. – низкий риск.

Плановые проверки в отношении юрлиц и ИП будут проводиться в зависимости от присвоенной их деятельности категории риска со следующей периодичностью:

  • для категории чрезвычайно высокого риска — один раз в календарном году;
  • для высокого риска — один раз в 2 года;
  • для значительного риска — один раз в 3 года;
  • для среднего риска — не чаще чем один раз в 4 года;
  • для умеренного риска — не чаще чем один раз в 6 лет.

В отношении категории низкого риска плановые проверки Роспотребнадзора не проводятся.
Как это работает в мире?
Основная концепция внедрения РОП в других странах мира не отличается. На первоначальном этапе разрабатывается нормативная база и инструментарий надзора, этап разработки предполагает стратегическое планирование и риск-ориентированные документы для всех отраслей, а этап реализации подразумевает регулярную актуализацию нормативной базы и оценку результатов.
Частыми проблемами, с которыми сталкивались страны ЕС при переходе к риск-ориентированному подходу, оказались недостаточно проработанная нормативная база и одновременное использование старых и новых нормативных документов, а также нечеткая стратегия и неориентированное на риск планирование.
Основная идея риск-ориентированного регулирования – нельзя регулировать и контролировать все эффективно, полный контроль экономически нецелесообразен.

США
В соответствии с американской , контроль за выполнением обязательных требований должен проходить следующим образом: при первом нарушении предприятию выносится предупреждение, устанавливаются сроки на исправление ситуации и производится повторная проверка. При втором – штраф, если нарушение не устранено. При последующем нарушении производится временная приостановка деятельности, а далее объект или предприятие закрывается.
Дания
На примере Дании эксперт Международной Финансовой Корпорации (IFC) Гордана Ристич , что для поиска источника проблем в контрольно-надзорной деятельности рынка пищевых продуктов используется цепочка прослеживаемости «от фермы до прилавка», и, если проблемы выявляются в одном из звеньев цепочки, контрольно-надзорным органам следует связаться с ответственной стороной для проведения проверки.
Контроль также производится по 5 группам опасности, но в Дании существуют и т.н. элитные группы – стандартная частота проверок составляет 0,5 в год (т.е. раз в 2 года), и если в последних 4 отчетах с результатами проверок не предусматривалось штрафных санкций, компания получает статус элитной и количество проверок относительно нее сокращается (с 5 до 3 в самой высокой группе риска и с 3 до 1 в высокой). Кроме того, приятным бонусом для компании становится то, что она может использовать значок своего элитного статуса в маркетинге, например, в рекламе или маркировке.
В ноябре 2017 Всемирный Банк провел семинар по риск-ориентированному подходу, в ходе семинара профессор Гордана Ристич представила доклад об индикаторах риска для санитарно-эпидемиологического надзора.
В первую очередь, эффективность зависит от правильного анализа реальных угроз, возникающих на проверяемых объектах. Так, например, пищевые производства должны иметь разные уровни риска в зависимости от методов обработки продуктов и потенциальной опасности для потребителя.
«Два идентичных предприятия будут иметь разные риски из-за различной продукции. Свежее молоко опасней пастеризованного», — сказала Ристич.
Согласно международной практике, административные меры, применяемые надзорными органами, должны быть гибким инструментом воздействия. Предприятия должны получить определенное время на устранение нарушений и уже затем, в случае дальнейшего несоблюдения требований, быть наказаны.
Эксперт также указала на важность подготовки инспекторов. По словам Ристич, «современный инспектор должен знать о хороших практиках, умениях, технологиях. Во время проверки он должен оценивать как инфраструктуру, так и процессы”.
Относительно проверочных листов эксперт подчеркнула, что чек-листы должны удобным инструментом выявления рисков, а не простым копированием законодательных норм. То, как на предприятии происходят процессы, важнее формальной оценки инфраструктуры.
В целом, в практике внедрения РОП в ЕС пришли к выводам, что инспекционный контроль может стимулировать компании, а может и производить обратный эффект – продолжительные и частые проверки с целью выписывания штрафа не могут улучшить результаты деятельности компании.

Оценки
В целом, конечно, со стороны реформа выглядит позитивным изменением, облегчающим жизнь бизнесу. Заместитель министра экономического развития, один из инициаторов перехода к РОП Савва Шипов на Российском экономическом форуме рассказал, что решение о проведении проверки должно приниматься не конкретным инспектором, а на основании степени риска, пояснил Шипов.

«Например, поступает жалоба о каких-то нарушениях. Необходимо оценить, какие требования нарушаются, насколько нарушение несет за собой опасность — причинение вреда жизни, здоровью, имуществу, насколько можно доверять источнику информации и так далее. Поэтому мы считаем, что внеплановые проверки постепенно должны переходить на риск-ориентированный подход, и если срабатывают индикаторы, что риск действительно высокий, тогда проверка проводится, если нет, то проверка не нужна», — рассказал Шипов.
Однако у представителей бизнеса и потребительских обществ реформа вызвала разную реакцию.
Дмитрий Янин, Председатель правления Международной конфедерации обществ потребителей (КонфОП) в разговоре с Milknews раскритиковал проводимую реформу и связал изменения с нежеланием финансировать контрольные органы.
«На мой взгляд, реформа КНД была инициирована от безысходности. Это связано с нежеланием государства финансировать эффективный надзор, нежеланием обеспечивать компенсационные пакеты надзорным органам, зарплаты и социальные гарантии проверяющим.
Инициаторы реформы исходят из того, что, по их мнению, любой проверяющий — взяточник и коррупционер, и честно работать за 25-30 тысяч рублей инспектор не может. Поэтому вместо инициирования повышения уровня зарплат у служащих и отслеживания адекватности трат ведомств, у нас более 10 лет реализуется стратегия по усложнению деятельности контрольно-надзорных органов.
Главный документ – закон о контроле юрлиц при осуществлении КНД – фактически снизил эффективность контрольно-надзорных мероприятий. Ни в одной стране ЕС мы не нашли практики, когда организацию предупреждают о внеплановой проверке за сутки – таких ограничений нигде нет, потому что после предупреждения посылать госчиновников на проверку неэффективно. Чиновники-реформаторы, инициировавшие вместе с крупным бизнесом и надзирающими органами, достаточно лояльно относятся к мизерным штрафам за обман потребителя и фальсификат, у нас не очень высокие штрафы за нарушения требований технических регламентов. Поэтому тенденция сохраняется, качество и количество надзорных ведомств будет сокращаться, а бизнес продолжит писать правила игры, исходя из условий «не мешайте делать, что хочется».
К остальным изменениям, вроде ранжирования и косметическим изменениям в законодательстве я отношусь спокойно, ключевая проблема – недофинансирование и низкий уровень штрафов, проблемы в законодательстве, отсутствие возможности потребителям через суд массово отстаивать свои интересы (например, в США есть коллективные иски, которые подают общества потребителей, в некоторых странах надзорные органы могут обращаться в суд по поводу не только изъятия продуктов с полок, но и со всего рынка, включая выплату компенсаций)».
Первый вице-президент «ОПОРЫ РОССИИ» Владислав Корочкин рассказал Milknews, что бизнес относится к реформе абсолютно положительно и «участвует в ней самым непосредственным образом”. По мнению Корочкина, плюсы — перестройка взаимоотношений предприятий (причем всех, не только бизнеса) с устаревшей, во многом навязанной внешними агентами парадигмы на современную, более эффективную и менее обременительную как для государства, так и для общества. Минусы заключаются в том, что реформа проходит не так быстро, как это необходимо.
«Те 2-3% дополнительного роста ВВП, которые по оценкам могла бы дать новая система, страна по прежнему теряет. Насколько переход к риск-ориентированному подходу облегчит жизнь предпринимателям? Очень серьезно. Это и снижение количества дорогостоящих плановых проверок, и избавление от многих «экзотических» и парадоксальных обязательных требований, которые, кроме сомнений в адекватности предъявляющих их представителей государства, ничего не давали” — заявил Корочкин.
На вопрос о том, не является ли значительное снижение количества проверок нежеланием государства финансировать надзор, эксперт пояснил, что эффективный контроль можно (и нужно) построить, вообще обходясь без плановых проверок госорганами. «Лучшие мировые практики это наглядно показывают. Тем более сегодня, когда есть тысячи способов обеспечения контроля с помощью разнообразных технических устройств. Кроме того, есть практика страхования и работы Саморегулируемых организаций. Вполне положительная”.

Артем Фальчев 48757 просмотров

Постановление от 17 августа 2016 года №806. Утверждены Правила отнесения деятельности юридических лиц и индивидуальных предпринимателей и (или) используемых ими производственных объектов к определённой категории риска или определённому классу (категории) опасности. В целях поэтапной отработки механизма перехода на риск-ориентированную модель при отдельных видах госконтроля определён перечень видов контроля, при которых такой подход будет применяться до 1 января 2018 года. Принятые решения направлены на активное использование методов оценки рисков в целях снижения общей административной нагрузки на субъекты предпринимательской деятельности. Одновременно внедрение риск-ориентированного подхода позволит повысить эффективность контрольно-надзорной деятельности.

Справка

Документ

  • PDF

    Постановление от 17 августа 2016 года №806

  • Постановление от 17 августа 2016 года №806 в действующей редакции

Подготовлено Минэкономразвития России в целях реализации Федерального закона от 13 июля 2015 года №246-ФЗ «О внесении изменений в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»» (далее – Федеральный закон №246-ФЗ).

Федеральным законом №246-ФЗ предусмотрено, что с 1 января 2018 года органами государственного контроля (надзора) при организации отдельных видов госконтроля применяется риск-ориентированный подход. Такие виды госконтроля определяются Правительством России.

Риск-ориентированный подход представляет собой метод организации и проведения государственного контроля (надзора), при котором выбор интенсивности (формы, продолжительности, периодичности) проведения контрольных мероприятий определяется отнесением деятельности юридического лица, индивидуального предпринимателя и (или) используемых ими при такой деятельности производственных объектов к определённой категории риска либо определённому классу опасности.

Подписанным постановлением утверждены Правила отнесения деятельности юридических лиц и индивидуальных предпринимателей и (или) используемых ими производственных объектов к определённой категории риска или определённому классу (категории) опасности.

В целях поэтапной отработки механизма перехода на риск-ориентированную модель при отдельных видах госконтроля определён перечень видов государственного контроля (надзора), при которых такой подход будет применяться до 1 января 2018 года. В этот перечень включены:

  • федеральный государственный надзор в сфере связи;
  • федеральный государственный санитарно-эпидемиологический надзор, который проводится Роспотребнадзором и Федеральным медико-биологическим агентством;
  • федеральный государственный пожарный надзор.

В положения о федеральном государственном надзоре в сфере связи, федеральном государственном санитарно-эпидемиологического надзоре и федеральном государственном пожарном надзоре внесены изменения, которыми, в частности, устанавливаются категории риска или классы опасности, которые применяются при этом виде контроля (надзора); критерии отнесения объектов контроля к определённой категории риска или определённому классу опасности; периодичность проведения плановых проверок в зависимости от присвоенных объектам контроля категории риска или класса опасности.

Принятые решения направлены на активное использование методов оценки рисков в целях снижения общей административной нагрузки на субъекты предпринимательской деятельности.

Одновременно внедрение риск-ориентированного подхода позволит повысить эффективность контрольно-надзорной деятельности.

Риск-ориентированный подход – это метод организации и осуществления государственного контроля (надзора), при котором в предусмотренных настоящим Федеральным законом случаях выбор интенсивности (формы, продолжительности, периодичности) проведения мероприятий по контролю, мероприятий по профилактике нарушения обязательных требований определяется отнесением деятельности юридического лица, индивидуального предпринимателя и (или) используемых ими при осуществлении такой деятельности производственных объектов к определенной категории риска либо определенному классу (категории) опасности.

Риск-ориентированный подход в контрольно-надзорной деятельности набирает все большую популярность. Ярким примером служит программа реформирования работы федеральных министерств и ведомств, распространяющая риск-ориентированный подход на виды надзора. Данный подход предполагает концентрацию ограниченных ресурсов государства в зонах максимального риска для предотвращения вреда охраняемым законом ценностям и одновременно снижение административной нагрузки на добросовестных хозяйствующих субъектов.

Цель риск-ориентированного подхода

Целью риск-ориентированного подхода является оптимальное использование трудовых, материальных и финансовых ресурсов, задействованных при осуществлении государственного контроля (надзора), снижение издержек юридических лиц, индивидуальных предпринимателей и повышение результативности своей деятельности органами государственного контроля (надзора) при организации отдельных видов государственного контроля (надзора).

Перечень видов федерального государственного контроля (надзора), в отношении которых применяется риск-ориентированный подход, определен постановлением Правительства РФ от 17 августа 2016 года № 806.

История возникновения

Своим рождением система управления рисками обязана финансовому сектору, который (в отличие от прочих областей хозяйства) регулярно принимает на себя риски с целью получения вознаграждения за их несение. Подобная специфика деятельности побуждает банки, страховщиков, управляющие компании инвестиционных фондов не избегать рисков, минимизировать их, а управлять ими и измерять для установления адекватных цен на свои финансовые услуги (что влияет на ставки по кредитам, стоимость ценных бумаг, размер страховых премий). Профессиональной оценкой рисков в финансовых компаниях занимаются специализированные подразделения, чьей задачей является исключительно риск-менеджмент.

Схожесть работы отделов по управлению рисками и служб внутреннего аудита (внутреннего контроля) привела к тому, что постепенно риск-ориентированный подход проник в традиционный аудит, а оттуда и в прочие виды контроля и надзора, включая государственный. Параллельно (поскольку в сфере контроля (надзора) точные методы измерения оказались явно избыточными) произошло упрощение методов оценки рисков, переориентация с экономико-математических моделей на другие (например, экспертные), доступные большинству специалистов. Так, если точность оценки риска профессиональными финансистами доходит до десятых, сотых долей процента, в обычном контроле (надзоре) достаточно проранжировать риски по группам (например, высокая, средняя или низкая степень риска). В некотором смысле произошла «десакрализация» знаний о рисках, что позволило им проникнуть во все сферы контроля.

Принципы риск-ориентированного подхода

Основная задача риск-ориентированного подхода вне зависимости от области его применения состоит в достижении поставленных целей за счет снижения рисков. Высокую популярность риск-ориентированный подход (по сравнению с традиционным контролем) обеспечивает его сосредоточенность на зонах повышенного риска, что позволяет вовремя принять превентивные меры, выявить и устранить слабые места и тем самым избежать негативных последствий реализации риска. Риск-ориентированный подход опирается на несколько принципов.

Принцип риск-ориентированного подхода Характер проявления
Распределение ресурсов Ресурсы распределяются не равномерно, а с учетом размера риска (это касается как частоты, так и глубины проверки)
Соразмерность Принимаемые контролером меры адекватны рассчитанному риску
Гибкость Регулярная переоценка риска исходя из новых факторов и угроз
Законность Действие (бездействие) контролера основано на документально зафиксированной системе оценки рисков
Открытость Критерии оценки и классы риска открыты для подконтрольных лиц

Базой риск-ориентированного подхода является оценка рисков, призванная обеспечить понимание контролером уязвимости к риску проверяемого объекта. Как отмечалось выше, оценить риски не обязательно сложно (с применением электронных систем), но в любом случае оценка должна быть адекватной характеру и объему деятельности проверяемой организации (подразделения, участка работы). Например, риск-ориентированный подход в государственном контроле проявится в том, что в отношении небольшого по размеру учреждения надзорный орган при проверке может ограничиться самой простой процедурой оценки рисков. И напротив: к многофилиальному учреждению будет применена более сложная, комплексная процедура оценки рисков.

Риск-ориентированный подход в МЧС России

В своей деятельности Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий применяет риск-ориентированный подход к следующим видам федерального государственного контроля (надзора):

  1. Федеральный государственный пожарный надзор.
  2. Федеральный государственный надзор в области защиты населения и территорий от чрезвычайных ситуаций природного и техногенного характера.
  3. Лицензионный контроль за деятельностью по тушению пожаров в населенных пунктах, на производственных объектах и объектах инфраструктуры.
  4. Лицензионный контроль за деятельностью по монтажу, техническому обслуживанию и ремонту средств обеспечения пожарной безопасности зданий и сооружений.
  5. Государственный надзор в области гражданской обороны.
  6. Государственный надзор во внутренних водах и в территориальном море Российской Федерации за маломерными судами, используемыми в некоммерческих целях, и базами (сооружениями) для их стоянок.

Критерии и категории риск-ориентированного подхода

На момент написания материала, в части касающейся МЧС России, критерии разработаны только для 3-х видов федерального государственного контроля (надзора), это:

Федеральный государственный пожарный надзор

Критерии отнесения объектов защиты к определенной категории риска изложены в приложении к Положению о федеральном государственном пожарном надзоре, утвержденного постановлением Правительства РФ от 12.04.2012 № 290.

Согласно данному приложению и в соответствии с критериями тяжести потенциальных негативных последствий возможного несоблюдения на объекте защиты обязательных требований объекты защиты делятся на следующие категории риска:

  • высокого;
  • значительного;
  • среднего;
  • умеренного;
  • низкого.

Федеральный государственный надзор в области защиты населения и территорий от ЧС природного и техногенного характера

В этом виде надзора критерии отнесения деятельности юридических лиц и индивидуальных предпринимателей к определенной категории риска изложены в приложении к Положению о государственном надзоре в области защиты населения и территорий от чрезвычайных ситуаций природного и техногенного характера, утвержденного постановлением Правительства РФ от 24.12.2015 № 1418.

Согласно данному приложению с учетом оценки вероятности несоблюдения юридическими лицами и индивидуальными предпринимателями обязательных требований и тяжести потенциальных негативных последствий возможного несоблюдения юридическими лицами и индивидуальными предпринимателями обязательных требований деятельность юридических лиц и индивидуальных предпринимателей подлежит отнесению к следующим категориям риска:

  • высокого;
  • значительного;
  • низкого.

Государственный надзор в области гражданской обороны

Критерии отнесения деятельности юридических лиц и индивидуальных предпринимателей к определенной категории риска в области гражданской обороны изложены в приложении к Положению о государственном надзоре в области гражданской обороны, утвержденного постановлением Правительства РФ от 21.05.2007 № 305.

Согласно данному приложению с учетом оценки вероятности несоблюдения юридическими лицами и индивидуальными предпринимателями установленных требований в области гражданской обороны и тяжести потенциальных негативных последствий возможного несоблюдения юридическими лицами и индивидуальными предпринимателями установленных требований в области гражданской обороны деятельность юридических лиц и индивидуальных предпринимателей подлежит отнесению к следующим категориям риска:

  • высокого;
  • значительного;
  • среднего;
  • низкого.

«Управление в кредитной организации», 2009, N 3
ПРИНЦИПЫ УПРАВЛЕНИЯ WEB-ОТНОШЕНИЯМИ В БАНКЕ:
РИСК-ОРИЕНТИРОВАННЫЙ ПОДХОД
Предлагаем читателям серию статей, рассматривающих Web-отношения при использовании кредитными организациями технологии интернет-банкинга. Первая статья посвящена определению понятия и состава Web-отношений, выделению трех основных их составляющих и описанию учета особенностей информационного контура банковской деятельности, который порождает такие отношения, в организации и содержании процесса управления банковскими рисками.
———————————
Этим понятием охватываются отношения, возникающие у кредитных организаций, использующих в банковской деятельности представительства в сети Интернет, со своими клиентами, провайдерами и другими сторонними организациями. Каждой из разновидностей Web-отношений сопутствуют компоненты ряда банковских рисков, подходы к учету которых в организации банковской деятельности рассматриваются с позиций риск-ориентированного надзора.
Дело нужно делать, учитывая все мелочи,
а иначе — наплевать и забыть.
А.А.Помогайбо
«Тайна великих озарений»
Последнее десятилетие развития российского банковского сектора характеризуется стремительным и интенсивным внедрением в банковскую деятельность различных технологий дистанционного банковского обслуживания (ДБО), лидером среди которых по темпам внедрения и распространенности до последнего времени являлся интернет-банкинг (ИБ). Результаты исследований, проводимых в этом направлении, свидетельствуют о том, что лишь незначительное число кредитных организаций (менее 10%) до сих пор не имеют своих представительств в сети Интернет. Кредитные организации, использующие представительства такого рода для предоставления информационных, коммуникационных и (или) операционных услуг, открывают себя внешнему миру через недоступную чувственному восприятию среду, часто интерпретируемую как «киберпространство».
Взаимодействие кредитных организаций со своими клиентами, которое в большинстве случаев стало в этом пространстве двунаправленным, происходит через своего рода «виртуальные» ворота, формируемые разнообразными системами электронного банкинга (СЭБ), число видов которых в целом уже приблизилось к двум десяткам. При этом каждому варианту осуществления ДБО присущ своеобразный набор специфических факторов, «вызывающих к жизни» новые источники угроз или, иначе, источники компонентов банковских рисков, хотя эти наборы во всей совокупности вариантов ДБО образуют перекрывающиеся подмножества. Это целесообразно учитывать при организации управления рисками в условиях ДБО, имея в виду, что анализ факторов рисков, проведенный для одной СЭБ, не может считаться всеобъемлющим, если в ДБО задействованы несколько систем.
Специфика информационного контура банковской деятельности
Независимо от вида СЭБ, которой начинают пользоваться клиенты кредитной организации, переходящие на ДБО, важнейшим следствием для нее оказывается ассоциируемое с ним изменение зон ответственности и периметра информационной безопасности, которые существенно расширяются . Также независимо от схем, которые неявным образом формируются при прохождении потоков клиентских и банковских данных в среде информационного взаимодействия (Интернет, «эфир», проводные линии связи и т.п.), в описательной части внутрибанковских документов, касающихся содержания управления рисками, следует учитывать явление информационного контура банковской деятельности (ИКБД) . Именно в этой, иногда глобальной, структуре, отдельные участки которой формируются перед прохождением пакетов данных и исчезают после него (из-за чего киберпространство и оказывается прежде всего виртуальным), располагаются упомянутые зоны и периметр. Фактически к ним может быть отнесена почти вся совокупность технико-информационных ресурсов, которые используются клиентами кредитных организаций для дистанционного получения банковских услуг, начиная с расположенных в этих организациях (или используемых ими в рамках аутсорсинга) автоматизированных систем.
———————————
См.: Лямин Л.В. Корпоративное управление в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2008. N 3. С. 78 — 89; N 4. С. 70 — 83; N 5. С. 68 — 82.
Данное понятие было ранее введено автором, и само явление подробно анализировалось в статье: Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. N 5. С. 52 — 63; N 6. С. 43 — 54; N 7-8. С. 37 — 54.
Очевидно, что изменения такого рода специалистам кредитной организации (и в первую очередь ее руководству) желательно понимать и осознавать как минимум для того, чтобы в этих зонах ответственности (куда попадают и клиенты кредитной организации, и провайдеры, и Web-сайты, и каналы связи и т.п. компоненты) не возникали новые источники банковских рисков. Если говорить именно о высшем руководстве, или, как пишут в официальных документах, «органах управления» кредитной организации, к компетенции которых относятся в основном стратегические и тактические вопросы банковской деятельности, то речь должна идти хотя бы о понимании потенциального наличия новых угроз успешной банковской деятельности, которые могут возникать, если для этой деятельности не будут созданы пруденциальные условия.
Учитывая сказанное, важно подчеркнуть, что практически все Web-отношения, о которых будет идти речь в настоящей статье, образуются и поддерживаются именно в ИКБД и посредством него. То же самое относится к расширенному в случае ДБО периметру информационной безопасности кредитной организации, который «проходит» и через клиентскую зону ответственности, и через программно-технические средства, принадлежащие провайдерам кредитной организации, и через информационные сечения в структурах локальных и зональных вычислительных сетей и т.п.
Вследствие этого перед кредитными организациями возникает первая важнейшая задача — адаптация управления рисками банковской деятельности к новым условиям ее осуществления с учетом всех тех рисковых факторов, которые обусловлены возникновением упомянутой выше виртуальности. Самое главное в такой ситуации — четкое понимание того, кто именно и к каким информационно-процессинговым ресурсам (как кредитной организации, так и ИКБД) через каналы такого рода может получить доступ, с какими правами и полномочиями. Автор уже кратко касался данной темы в одной из ранних статей , предположив целесообразность создания специального внутрибанковского процесса. В развитие данного подхода далее приводятся дополнительные основания и предлагаются конкретные мероприятия для решения проблемных вопросов взаимодействия через виртуальное пространство с риск-ориентированных позиций.
———————————
См.: Лямин Л.В. Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора // Управление в кредитной организации. 2006. N 6. С. 83 — 94; 2007. N 1. С. 57 — 68; N 2. С. 66 — 74; N 3. С. 53 — 70.
Основной причиной этого являются результаты проводившегося за последние два года практического изучения организации и содержания управления Web-отношениями в российских кредитных организациях. Эти результаты свидетельствуют о наличии большого числа недостатков в процедурах, составляющих такой процесс (если он вообще организован!), из-за которых кредитные организации могут подвергать себя и своих клиентов необоснованным дополнительным факторам риска, реализующихся в тех или иных финансовых потерях (включая упущенную выгоду).
По мнению автора, перед кредитными организациями, внедряющими технологию и систему ИБ (равно как и любую другую технологию ДБО и реализующую ее СЭБ), возникает вторая не менее важная задача — адаптация ряда основных внутрибанковских процессов к новой схеме и модернизированному содержанию управления банковскими рисками. Причем осуществлять это следует с учетом реальных возможностей соответствующих внутрибанковских служб, подразделений и специалистов, имеющих отношение к этим процессам.
В настоящей статье рассматриваются как собственно Web-отношения с точки зрения влияния их возникновения на содержание управления такими компонентами банковских рисков, которые могут быть связаны с этим понятием, так и несколько основных вариантов их реализации, которые в общем случае целесообразно описывать в соответствующих официально утверждаемых внутрибанковских документах. При этом акцент сделан на организацию взаимодействия между заинтересованными подразделениями кредитной организации и на обоснование потребности в адаптации внутрибанковского документарного обеспечения. Наряду с этим подробно исследуются возможные ролевые функции ряда основных подразделений кредитной организации (которые, впрочем, традиционно принято считать «обеспечивающими») в снижении влияния факторов и источников риска, возникающих при осуществлении ДБО через Интернет.
Web-отношения и дополнительные факторы банковских рисков
Переход кредитной организации к предоставлению банковских услуг с использованием ресурсов сети Интернет («мировой паутины» — World Wide Web) во многом изменяет характер банковской деятельности, смещая профиль риска такой организации за счет исчезновения одних факторов и источников банковских рисков и возникновения других. Не все из них равнозначны или одинаково серьезны, однако при организации и осуществлении предоставления банковских услуг через посредство Интернета далеко не просто предвидеть каждый из таких компонентов банковских рисков и предопределить меры по его надежному хеджированию (в широком смысле).
Чтобы эффективно учитывать такие проявления в процессе управления банковскими рисками в интересах обеспечения гарантий надежности банковской деятельности, руководству кредитных организаций, использующих технологию ИБ и реализующую ее СЭБ, целесообразно иметь представление о всей совокупности возможных негативных явлений, связанных с предоставлением банковских услуг через Web-представительства (и не только), которые могут повлиять на результаты этой деятельности, интересы клиентов кредитной организации и ее самой.
Подобное влияние может быть как непосредственным, например через хорошо, к сожалению, известные сетевые и вирусные атаки, так и опосредованным, связанным, к примеру, с недостатками в организации и обеспечении Web-представительств и контроле их функционирования, из-за наличия которых могут возникать и реализоваться дополнительные компоненты ряда банковских рисков.
Сказанное непосредственно относится к таким банковским рискам, как операционный, репутационный, правовой и стратегический. В свою очередь, следствием реализации, к примеру, операционного риска может оказаться риск ликвидности (точнее, неплатежеспособности) для клиента, который не сможет выполнить свои обязательства перед третьей стороной или денежные средства которого окажутся похищены (при видимости соблюдения всех условий обеспечения информационной безопасности).
Стоит отметить, что упоминание последнего справедливо в случаях наличия принципиальных недостатков в организации и содержании управления Web-отношениями, из-за которых ставится под сомнение целесообразность затрат на переход к применению технологии интернет-банкинга.
Опыт изучения организационно-технического обеспечения банковской деятельности отечественных кредитных организаций свидетельствует о том, что их руководство далеко не всегда задается целью выявления и описания потенциальных источников банковских рисков при принятии решения о переходе к предоставлению услуг ИБ. На первый план выходит, как правило, желание создать некий имидж «банка XXI в.» или просто не отстать в конкурентной борьбе. Вследствие этого и организация, и содержание управления Web-ресурсами и контроля над ними оставляют желать много лучшего, а значит — не гарантировано и надежное использование таких интернет-технологий вообще, несмотря на уже понесенные кредитной организацией затраты на внедрение таких технологий. Эти неокупившиеся затраты могут оказаться достаточно значительными, хотя вложения в ИБ, как правило, быстро окупаются.
Содержание Web-отношений во многом зависит от того, как создавались Web-сайты, используемые кредитной организацией. По мнению автора, такие представительства в сети Интернет в современном мире являются «одним из ее лиц», что, кстати, подтверждает Банк России, выпуская рекомендации относительно контента и подходов к организации таких сайтов . В то же время документов по разработке, ведению, сопровождению и контролю Web-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций нет. Понятно, что причины отсутствия внимания руководства банков к «каким-то там» Web-сайтам все те же, но в результате уже не одна отечественная кредитная организация столкнулась с направленными в «ее Web-адрес» проявлениями «недобросовестной конкуренции».
———————————
См. Указание оперативного характера Банка России от 03.02.2004 N 16-Т «О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет», заменившее Указание оперативного характера Банка России от 07.05.2003 N 70-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций». В настоящее время уже подготовлена к выпуску новая, существенно расширенная редакция действующего документа, что обусловлено изменением ситуации с ДБО через Интернет за последние два года в плане возникновения новых факторов банковских рисков.
Ситуации, негативно влияющие на профиль риска кредитной организации, могут иметь место даже в тех случаях, когда эта организация использует только информационные ресурсы в виде Web-сайта, поскольку любой такой сайт может оказаться объектом хакерских атак разного рода — от размещения антирекламы и информации, ухудшающей имидж кредитной организации (в том числе при недобросовестной конкуренции), до нарушения его функционирования и хищения персональной информации при использовании фишинга или фарминга либо организации атак типа «посредник» на информационные ресурсы клиентов.
———————————
Соответственно перехват данных персональной идентификации и фальсификация доменных имен с целью совершения хищений финансовых средств со счетов клиентов (пользователей Интернета).
В последнем варианте хакер с помощью сайта-муляжа и технических способов перехвата данных занимает место в «виртуальном пространстве» в одном из информационных сечений между компьютером пользователя и ресурсами Интернета или кредитной организации. За счет этого он может перехватывать всю информацию, описывающую работу пользователя с ресурсами «мировой паутины», включая вводимые им кодовые комбинации для доступа к различным счетам и средствам управления ими. В результате возможна реализация

admin

Добавить комментарий