# 11. Положение о системе и порядке управления рисками

**Источник:** ЗАО «Уайт Бёрд»
**Утверждено:** Протокол общего собрания акционеров № 050525 от 05.05.2025
**Размер:** 377 КБ, 9 стр.
**Юр.основание:** Декрет № 8 + акты Наблюдательного совета ПВТ

## Что это
Внутренний нормативный акт уровня ERM (Enterprise Risk Management). Описывает кто, как и какие риски выявляет, измеряет, контролирует и митигирует в Whitebird.

## 9 видов рисков (Глава 2)
| № | Риск | Природа |
|---|---|---|
| 2.1 | **Кредитный** | Невыполнение должником финансовых обязательств перед Компанией |
| 2.2 | **Страновой** | Иностранные клиенты не могут исполнить из-за политических / экономических изменений или законодательства |
| 2.3 | **Рыночный** | Волатильность токенов / финансовых рынков |
| 2.4 | **Ликвидности** | Неспособность Компании исполнить обязательства вовремя |
| 2.5 | **Операционный** | Ошибки сотрудников, сбои систем, нарушение внутренних процедур |
| 2.6 | **Репутационный** | Сужение клиентской базы из-за негативного восприятия |
| 2.7 | **Концентрации** | Чрезмерная концентрация отдельных видов риска |
| 2.8 | **Правовой** | Изменения законодательства, судебные процессы, правовые ошибки |
| 2.9 | **Кибер-риск** | Взломы, malware, несанкционированный доступ |

## Структура СУР (Глава 3)
| Уровень | Кто | Ответственность |
|---|---|---|
| 1 | Руководитель Компании | Эффективность всей СУР, распределение полномочий, принятие решений на основе risk reports |
| 2 | **Risk Officer / Risk Department** | Прямое подчинение руководителю; идентификация, оценка, координация, методики, расследование инцидентов, отчётность |
| 3 | Руководители подразделений | Обеспечение compliance в своих отделах, передача данных Risk Officer, оптимизация процессов |
| 4 | Прочие работники | Реализация мер, мониторинг в своей зоне |

## Матрица оценки риска (3×3)
```
                  Значимость
                  Высокая  Средняя  Низкая
Вероятность:
Высокая           5 ★      4 ★      2
Средняя           4 ★      3        1
Низкая            3        2        1

★ = ОПАСНЫЙ уровень (5-4)
   = ДОПУСТИМЫЙ уровень (3-1)
```
Опасный уровень может быть снижен до допустимого через митигирующие меры.

## 4 способа реагирования (п. 4.3)
1. **Уклонение (avoidance)** — отказ от активности
2. **Сохранение (retention)** — принятие риска до допустимого уровня
3. **Ограничение (mitigation)** — снижение вероятности / ущерба
4. **Передача (transfer)** — разделение / аутсорсинг (страхование, hedge)

## 3 уровня контроля (п. 4.4)
| Уровень | Содержание |
|---|---|
| Предварительный | Кадры, должностные инструкции (исключающие COI), процедуры, оборудование, тех средства |
| Текущий | Проверка соответствия операций требованиям закона и внутренних актов |
| Последующий | Аудит, сопоставление план vs факт, расследование |

## Моё мнение
**Это технически грамотный документ уровня ISO 31000 / COSO ERM.** Whitebird применил стандартную банковскую риск-методологию к крипто-бизнесу. По-сути это документ, который любой Big-4 аудитор (KPMG/EY/PwC/Deloitte) подписал бы без правок.

**Сильные стороны:**
1. **9 типов риска enumerated** — полная картина. Большинство крипто-стартапов ограничиваются 3-4 типами.
2. **Кибер-риск выделен отдельно** — это правильно, в крипто-индустрии 60-80 % крупных потерь = взломы.
3. **Risk Officer reports direct to CEO** — без прослойки middle management. Стандарт зрелого финансового бизнеса.
4. **Конкретная risk matrix** — даёт работникам tool, а не общую философию.
5. **Ежегодный обязательный пересмотр** (п. 5.2) — preserves freshness.

**Слабые стороны:**
1. **Нет специфических крипто-рисков:**
   - Smart-contract risk (для DeFi-интеграций)
   - Oracle risk (если используются price feeds)
   - Stablecoin de-peg risk (USDT/USDC)
   - Validator concentration risk (для proof-of-stake токенов)
   - Bridge risk (cross-chain operations)
2. **Нет risk appetite statement** — где границы того, что Whitebird готов принимать?
3. **Нет KRI (Key Risk Indicators)** — конкретных метрик для каждого риска.
4. **Нет stress testing methodology** — что будет при флэш-крэше BTC на 50%?
5. **Нет связи с capital adequacy** — сколько капитала зарезервировано против каждого риска?
6. **Нет упоминания BCP / DRP** (Business Continuity Plan / Disaster Recovery Plan).

## Что нужно команде Монтаны для копирования 1:1
1. **Risk Management Policy документ** — расширение Whitebird до 11 типов риска:
   - Все 9 типов Whitebird
   - + **Smart-contract risk** (если у нас будут DeFi-операции / staking / yield)
   - + **Oracle risk** (если используем Chainlink/Pyth/UMA)
   - + **Stablecoin de-peg risk** (отдельный фокус на USDT/USDC concentration)
   - + **Validator slashing risk** (для нашей TimeChain)
   - + **Bridge risk** (cross-chain operations)
2. **Назначение Chief Risk Officer (CRO):**
   - Прямое подчинение CEO
   - Veto на любое решение, превышающее risk appetite
   - Ежеквартальные reports board of directors
   - Минимум CRO с 5+ лет финансового risk management опыта
3. **Risk Register** — живой документ (можно в форме Notion / Confluence / specialized GRC tool):
   - Каждый risk: id, описание, источник, текущая оценка (значимость / вероятность / score), митигирующие меры, owner, deadlines, статус
   - Обновление еженедельно для opasных рисков, ежемесячно для допустимых
4. **Risk Matrix 5×5 (не 3×3)** — рекомендую более гранулярную:
   - Значимость: catastrophic / severe / significant / moderate / minor
   - Вероятность: almost certain / likely / possible / unlikely / rare
   - Это даст 5 уровней: critical / high / medium / low / very low — вместо двух у Whitebird
5. **Risk Appetite Statement** — публичный документ для regulators:
   - Cyber: нулевая толерантность к проникновениям в hot wallets
   - Operational: max 0.1 % annual loss от revenue
   - Credit: max 1 % unsecured client exposure
   - Liquidity: 30 % AUM в highly liquid assets (USDC + cash)
   - Market: VaR-limit 5 % equity на proprietary book
6. **Key Risk Indicators (KRI) Dashboard:**
   - Real-time индикаторы для каждого риска
   - Auto-alerts при пересечении threshold
   - Heatmap уровня риска по подразделениям
7. **Quarterly Risk Reports** — формальный документ для совета директоров и регулятора:
   - Top-10 рисков с motion (improved/stable/worsened)
   - Incident summary
   - Mitigation actions completed / pending
   - Forward-looking risks
8. **Stress Testing Framework:**
   - Сценарии: BTC -50 % за 24h, USDT de-peg к $0.95, банк-партнёр заморожен на 7 дней, DDoS на 72 часа, утечка hot wallet keys, регулятор отозвал лицензию
   - Раз в квартал — полный stress test
9. **BCP / DRP документы** — отдельно от Risk Policy, но связано:
   - RTO (Recovery Time Objective) для каждого критического сервиса
   - RPO (Recovery Point Objective) для данных
   - Disaster simulation exercise — раз в полугодие
10. **Risk Officer training program** — мандатный onboarding для всех новых сотрудников.

## Что точно скопировать у Whitebird (формулировки)
- «СУР подлежит по крайней мере ежегодному пересмотру» — обязательная цикличность
- Структура Глав 1-5 как skeleton: Общие положения → Виды рисков → Структура управления → Процесс → Прочее
- «Опасный уровень риска может быть снижен до допустимого уровня в результате принятия Компанией мер по минимизации риска» — формулировка переходов между статусами

## Ссылки внутри Whitebird-стека
- → #17 (положение о конфликте интересов — связанный документ)
- → #28 (политика обработки персональных данных — связано с кибер-риском)
- → Должность Risk Officer (один из основных compliance ролей)