efir369999/montana
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
2272b91b0c
montana/Venera Montana/_audit/11_polozhenie_o_riskah.md
Afgroup 33ed01bceb sync 2026-05-26T18:14:51Z
2026-05-26 21:14:51 +03:00

135 lines
11 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 11. Положение о системе и порядке управления рисками
**Источник:** ЗАО «Уайт Бёрд»
**Утверждено:** Протокол общего собрания акционеров № 050525 от 05.05.2025
**Размер:** 377 КБ, 9 стр.
**Юр.основание:** Декрет № 8 + акты Наблюдательного совета ПВТ
## Что это
Внутренний нормативный акт уровня ERM (Enterprise Risk Management). Описывает кто, как и какие риски выявляет, измеряет, контролирует и митигирует в Whitebird.
## 9 видов рисков (Глава 2)
| № | Риск | Природа |
|---|---|---|
| 2.1 | **Кредитный** | Невыполнение должником финансовых обязательств перед Компанией |
| 2.2 | **Страновой** | Иностранные клиенты не могут исполнить из-за политических / экономических изменений или законодательства |
| 2.3 | **Рыночный** | Волатильность токенов / финансовых рынков |
| 2.4 | **Ликвидности** | Неспособность Компании исполнить обязательства вовремя |
| 2.5 | **Операционный** | Ошибки сотрудников, сбои систем, нарушение внутренних процедур |
| 2.6 | **Репутационный** | Сужение клиентской базы из-за негативного восприятия |
| 2.7 | **Концентрации** | Чрезмерная концентрация отдельных видов риска |
| 2.8 | **Правовой** | Изменения законодательства, судебные процессы, правовые ошибки |
| 2.9 | **Кибер-риск** | Взломы, malware, несанкционированный доступ |
## Структура СУР (Глава 3)
| Уровень | Кто | Ответственность |
|---|---|---|
| 1 | Руководитель Компании | Эффективность всей СУР, распределение полномочий, принятие решений на основе risk reports |
| 2 | **Risk Officer / Risk Department** | Прямое подчинение руководителю; идентификация, оценка, координация, методики, расследование инцидентов, отчётность |
| 3 | Руководители подразделений | Обеспечение compliance в своих отделах, передача данных Risk Officer, оптимизация процессов |
| 4 | Прочие работники | Реализация мер, мониторинг в своей зоне |
## Матрица оценки риска (3×3)
```
Значимость
Высокая Средняя Низкая
Вероятность:
Высокая 5 ★ 4 ★ 2
Средняя 4 ★ 3 1
Низкая 3 2 1
★ = ОПАСНЫЙ уровень (5-4)
= ДОПУСТИМЫЙ уровень (3-1)
```
Опасный уровень может быть снижен до допустимого через митигирующие меры.
## 4 способа реагирования (п. 4.3)
1. **Уклонение (avoidance)** — отказ от активности
2. **Сохранение (retention)** — принятие риска до допустимого уровня
3. **Ограничение (mitigation)** — снижение вероятности / ущерба
4. **Передача (transfer)** — разделение / аутсорсинг (страхование, hedge)
## 3 уровня контроля (п. 4.4)
| Уровень | Содержание |
|---|---|
| Предварительный | Кадры, должностные инструкции (исключающие COI), процедуры, оборудование, тех средства |
| Текущий | Проверка соответствия операций требованиям закона и внутренних актов |
| Последующий | Аудит, сопоставление план vs факт, расследование |
## Моё мнение
**Это технически грамотный документ уровня ISO 31000 / COSO ERM.** Whitebird применил стандартную банковскую риск-методологию к крипто-бизнесу. По-сути это документ, который любой Big-4 аудитор (KPMG/EY/PwC/Deloitte) подписал бы без правок.
**Сильные стороны:**
1. **9 типов риска enumerated** — полная картина. Большинство крипто-стартапов ограничиваются 3-4 типами.
2. **Кибер-риск выделен отдельно** — это правильно, в крипто-индустрии 60-80 % крупных потерь = взломы.
3. **Risk Officer reports direct to CEO** — без прослойки middle management. Стандарт зрелого финансового бизнеса.
4. **Конкретная risk matrix** — даёт работникам tool, а не общую философию.
5. **Ежегодный обязательный пересмотр** (п. 5.2) — preserves freshness.
**Слабые стороны:**
1. **Нет специфических крипто-рисков:**
- Smart-contract risk (для DeFi-интеграций)
- Oracle risk (если используются price feeds)
- Stablecoin de-peg risk (USDT/USDC)
- Validator concentration risk (для proof-of-stake токенов)
- Bridge risk (cross-chain operations)
2. **Нет risk appetite statement** — где границы того, что Whitebird готов принимать?
3. **Нет KRI (Key Risk Indicators)** — конкретных метрик для каждого риска.
4. **Нет stress testing methodology** — что будет при флэш-крэше BTC на 50%?
5. **Нет связи с capital adequacy** — сколько капитала зарезервировано против каждого риска?
6. **Нет упоминания BCP / DRP** (Business Continuity Plan / Disaster Recovery Plan).
## Что нужно команде Монтаны для копирования 1:1
1. **Risk Management Policy документ** — расширение Whitebird до 11 типов риска:
- Все 9 типов Whitebird
- + **Smart-contract risk** (если у нас будут DeFi-операции / staking / yield)
- + **Oracle risk** (если используем Chainlink/Pyth/UMA)
- + **Stablecoin de-peg risk** (отдельный фокус на USDT/USDC concentration)
- + **Validator slashing risk** (для нашей TimeChain)
- + **Bridge risk** (cross-chain operations)
2. **Назначение Chief Risk Officer (CRO):**
- Прямое подчинение CEO
- Veto на любое решение, превышающее risk appetite
- Ежеквартальные reports board of directors
- Минимум CRO с 5+ лет финансового risk management опыта
3. **Risk Register** — живой документ (можно в форме Notion / Confluence / specialized GRC tool):
- Каждый risk: id, описание, источник, текущая оценка (значимость / вероятность / score), митигирующие меры, owner, deadlines, статус
- Обновление еженедельно для opasных рисков, ежемесячно для допустимых
4. **Risk Matrix 5×5 (не 3×3)** — рекомендую более гранулярную:
- Значимость: catastrophic / severe / significant / moderate / minor
- Вероятность: almost certain / likely / possible / unlikely / rare
- Это даст 5 уровней: critical / high / medium / low / very low — вместо двух у Whitebird
5. **Risk Appetite Statement** — публичный документ для regulators:
- Cyber: нулевая толерантность к проникновениям в hot wallets
- Operational: max 0.1 % annual loss от revenue
- Credit: max 1 % unsecured client exposure
- Liquidity: 30 % AUM в highly liquid assets (USDC + cash)
- Market: VaR-limit 5 % equity на proprietary book
6. **Key Risk Indicators (KRI) Dashboard:**
- Real-time индикаторы для каждого риска
- Auto-alerts при пересечении threshold
- Heatmap уровня риска по подразделениям
7. **Quarterly Risk Reports** — формальный документ для совета директоров и регулятора:
- Top-10 рисков с motion (improved/stable/worsened)
- Incident summary
- Mitigation actions completed / pending
- Forward-looking risks
8. **Stress Testing Framework:**
- Сценарии: BTC -50 % за 24h, USDT de-peg к $0.95, банк-партнёр заморожен на 7 дней, DDoS на 72 часа, утечка hot wallet keys, регулятор отозвал лицензию
- Раз в квартал — полный stress test
9. **BCP / DRP документы** — отдельно от Risk Policy, но связано:
- RTO (Recovery Time Objective) для каждого критического сервиса
- RPO (Recovery Point Objective) для данных
- Disaster simulation exercise — раз в полугодие
10. **Risk Officer training program** — мандатный onboarding для всех новых сотрудников.
## Что точно скопировать у Whitebird (формулировки)
- «СУР подлежит по крайней мере ежегодному пересмотру» — обязательная цикличность
- Структура Глав 1-5 как skeleton: Общие положения → Виды рисков → Структура управления → Процесс → Прочее
- «Опасный уровень риска может быть снижен до допустимого уровня в результате принятия Компанией мер по минимизации риска» — формулировка переходов между статусами
## Ссылки внутри Whitebird-стека
-#17 (положение о конфликте интересов — связанный документ)
-#28 (политика обработки персональных данных — связано с кибер-риском)
- → Должность Risk Officer (один из основных compliance ролей)
Reference in New Issue View Git Blame Copy Permalink