efir369999/montana
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
2272b91b0c
montana/Venera Montana/_audit/11_polozhenie_o_riskah.md

135 lines
11 KiB
Markdown
Raw Normal View History

sync 2026-05-18T15:05:32Z
2026-05-18 18:05:32 +03:00
# 11. Положение о системе и порядке управления рисками
**Источник:** ЗАО «Уайт Бёрд»
**Утверждено:** Протокол общего собрания акционеров № 050525 от 05.05.2025
**Размер:** 377 КБ, 9 стр.
**Юр.основание:** Декрет № 8 + акты Наблюдательного совета ПВТ
## Что это
Внутренний нормативный акт уровня ERM (Enterprise Risk Management). Описывает кто, как и какие риски выявляет, измеряет, контролирует и митигирует в Whitebird.
## 9 видов рисков (Глава 2)
| № | Риск | Природа |
|---|---|---|
| 2.1 | **Кредитный** | Невыполнение должником финансовых обязательств перед Компанией |
| 2.2 | **Страновой** | Иностранные клиенты не могут исполнить из-за политических / экономических изменений или законодательства |
| 2.3 | **Рыночный** | Волатильность токенов / финансовых рынков |
| 2.4 | **Ликвидности** | Неспособность Компании исполнить обязательства вовремя |
| 2.5 | **Операционный** | Ошибки сотрудников, сбои систем, нарушение внутренних процедур |
| 2.6 | **Репутационный** | Сужение клиентской базы из-за негативного восприятия |
| 2.7 | **Концентрации** | Чрезмерная концентрация отдельных видов риска |
| 2.8 | **Правовой** | Изменения законодательства, судебные процессы, правовые ошибки |
| 2.9 | **Кибер-риск** | Взломы, malware, несанкционированный доступ |
## Структура СУР (Глава 3)
| Уровень | Кто | Ответственность |
|---|---|---|
| 1 | Руководитель Компании | Эффективность всей СУР, распределение полномочий, принятие решений на основе risk reports |
| 2 | **Risk Officer / Risk Department** | Прямое подчинение руководителю; идентификация, оценка, координация, методики, расследование инцидентов, отчётность |
| 3 | Руководители подразделений | Обеспечение compliance в своих отделах, передача данных Risk Officer, оптимизация процессов |
| 4 | Прочие работники | Реализация мер, мониторинг в своей зоне |
## Матрица оценки риска (3×3)
```
Значимость
Высокая Средняя Низкая
Вероятность:
Высокая 5 ★ 4 ★ 2
Средняя 4 ★ 3 1
Низкая 3 2 1
★ = ОПАСНЫЙ уровень (5-4)
= ДОПУСТИМЫЙ уровень (3-1)
```
Опасный уровень может быть снижен до допустимого через митигирующие меры.
## 4 способа реагирования (п. 4.3)
1. **Уклонение (avoidance)** — отказ от активности
2. **Сохранение (retention)** — принятие риска до допустимого уровня
3. **Ограничение (mitigation)** — снижение вероятности / ущерба
4. **Передача (transfer)** — разделение / аутсорсинг (страхование, hedge)
## 3 уровня контроля (п. 4.4)
| Уровень | Содержание |
|---|---|
| Предварительный | Кадры, должностные инструкции (исключающие COI), процедуры, оборудование, тех средства |
| Текущий | Проверка соответствия операций требованиям закона и внутренних актов |
| Последующий | Аудит, сопоставление план vs факт, расследование |
## Моё мнение
**Это технически грамотный документ уровня ISO 31000 / COSO ERM.** Whitebird применил стандартную банковскую риск-методологию к крипто-бизнесу. По-сути это документ, который любой Big-4 аудитор (KPMG/EY/PwC/Deloitte) подписал бы без правок.
**Сильные стороны:**
1. **9 типов риска enumerated** — полная картина. Большинство крипто-стартапов ограничиваются 3-4 типами.
2. **Кибер-риск выделен отдельно** — это правильно, в крипто-индустрии 60-80 % крупных потерь = взломы.
3. **Risk Officer reports direct to CEO** — без прослойки middle management. Стандарт зрелого финансового бизнеса.
4. **Конкретная risk matrix** — даёт работникам tool, а не общую философию.
5. **Ежегодный обязательный пересмотр** (п. 5.2) — preserves freshness.
**Слабые стороны:**
1. **Нет специфических крипто-рисков:**
- Smart-contract risk (для DeFi-интеграций)
- Oracle risk (если используются price feeds)
- Stablecoin de-peg risk (USDT/USDC)
- Validator concentration risk (для proof-of-stake токенов)
- Bridge risk (cross-chain operations)
2. **Нет risk appetite statement** — где границы того, что Whitebird готов принимать?
3. **Нет KRI (Key Risk Indicators)** — конкретных метрик для каждого риска.
4. **Нет stress testing methodology** — что будет при флэш-крэше BTC на 50%?
5. **Нет связи с capital adequacy** — сколько капитала зарезервировано против каждого риска?
6. **Нет упоминания BCP / DRP** (Business Continuity Plan / Disaster Recovery Plan).
## Что нужно команде Монтаны для копирования 1:1
1. **Risk Management Policy документ** — расширение Whitebird до 11 типов риска:
- Все 9 типов Whitebird
- + **Smart-contract risk** (если у нас будут DeFi-операции / staking / yield)
- + **Oracle risk** (если используем Chainlink/Pyth/UMA)
- + **Stablecoin de-peg risk** (отдельный фокус на USDT/USDC concentration)
- + **Validator slashing risk** (для нашей TimeChain)
- + **Bridge risk** (cross-chain operations)
2. **Назначение Chief Risk Officer (CRO):**
- Прямое подчинение CEO
- Veto на любое решение, превышающее risk appetite
- Ежеквартальные reports board of directors
- Минимум CRO с 5+ лет финансового risk management опыта
3. **Risk Register** — живой документ (можно в форме Notion / Confluence / specialized GRC tool):
- Каждый risk: id, описание, источник, текущая оценка (значимость / вероятность / score), митигирующие меры, owner, deadlines, статус
- Обновление еженедельно для opasных рисков, ежемесячно для допустимых
4. **Risk Matrix 5×5 (не 3×3)** — рекомендую более гранулярную:
- Значимость: catastrophic / severe / significant / moderate / minor
- Вероятность: almost certain / likely / possible / unlikely / rare
- Это даст 5 уровней: critical / high / medium / low / very low — вместо двух у Whitebird
5. **Risk Appetite Statement** — публичный документ для regulators:
- Cyber: нулевая толерантность к проникновениям в hot wallets
- Operational: max 0.1 % annual loss от revenue
- Credit: max 1 % unsecured client exposure
- Liquidity: 30 % AUM в highly liquid assets (USDC + cash)
- Market: VaR-limit 5 % equity на proprietary book
6. **Key Risk Indicators (KRI) Dashboard:**
- Real-time индикаторы для каждого риска
- Auto-alerts при пересечении threshold
- Heatmap уровня риска по подразделениям
7. **Quarterly Risk Reports** — формальный документ для совета директоров и регулятора:
- Top-10 рисков с motion (improved/stable/worsened)
- Incident summary
- Mitigation actions completed / pending
- Forward-looking risks
8. **Stress Testing Framework:**
- Сценарии: BTC -50 % за 24h, USDT de-peg к $0.95, банк-партнёр заморожен на 7 дней, DDoS на 72 часа, утечка hot wallet keys, регулятор отозвал лицензию
- Раз в квартал — полный stress test
9. **BCP / DRP документы** — отдельно от Risk Policy, но связано:
- RTO (Recovery Time Objective) для каждого критического сервиса
- RPO (Recovery Point Objective) для данных
- Disaster simulation exercise — раз в полугодие
10. **Risk Officer training program** — мандатный onboarding для всех новых сотрудников.
## Что точно скопировать у Whitebird (формулировки)
- «СУР подлежит по крайней мере ежегодному пересмотру» — обязательная цикличность
- Структура Глав 1-5 как skeleton: Общие положения → Виды рисков → Структура управления → Процесс → Прочее
- «Опасный уровень риска может быть снижен до допустимого уровня в результате принятия Компанией мер по минимизации риска» — формулировка переходов между статусами
## Ссылки внутри Whitebird-стека
-#17 (положение о конфликте интересов — связанный документ)
-#28 (политика обработки персональных данных — связано с кибер-риском)
- → Должность Risk Officer (один из основных compliance ролей)
Reference in New Issue Copy Permalink