efir369999/montana
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
ffb6d65baf
montana/Vera Montana/_audit/11_polozhenie_o_riskah.md
Afgroup ffb6d65baf sync 2026-05-18T15:05:32Z
2026-05-18 18:05:32 +03:00

11 KiB
Raw Blame History

11. Положение о системе и порядке управления рисками

Источник: ЗАО «Уайт Бёрд» Утверждено: Протокол общего собрания акционеров № 050525 от 05.05.2025 Размер: 377 КБ, 9 стр. Юр.основание: Декрет № 8 + акты Наблюдательного совета ПВТ

Что это

Внутренний нормативный акт уровня ERM (Enterprise Risk Management). Описывает кто, как и какие риски выявляет, измеряет, контролирует и митигирует в Whitebird.

9 видов рисков (Глава 2)

Риск Природа
2.1 Кредитный Невыполнение должником финансовых обязательств перед Компанией
2.2 Страновой Иностранные клиенты не могут исполнить из-за политических / экономических изменений или законодательства
2.3 Рыночный Волатильность токенов / финансовых рынков
2.4 Ликвидности Неспособность Компании исполнить обязательства вовремя
2.5 Операционный Ошибки сотрудников, сбои систем, нарушение внутренних процедур
2.6 Репутационный Сужение клиентской базы из-за негативного восприятия
2.7 Концентрации Чрезмерная концентрация отдельных видов риска
2.8 Правовой Изменения законодательства, судебные процессы, правовые ошибки
2.9 Кибер-риск Взломы, malware, несанкционированный доступ

Структура СУР (Глава 3)

Уровень Кто Ответственность
1 Руководитель Компании Эффективность всей СУР, распределение полномочий, принятие решений на основе risk reports
2 Risk Officer / Risk Department Прямое подчинение руководителю; идентификация, оценка, координация, методики, расследование инцидентов, отчётность
3 Руководители подразделений Обеспечение compliance в своих отделах, передача данных Risk Officer, оптимизация процессов
4 Прочие работники Реализация мер, мониторинг в своей зоне

Матрица оценки риска (3×3)

                  Значимость
                  Высокая  Средняя  Низкая
Вероятность:
Высокая           5 ★      4 ★      2
Средняя           4 ★      3        1
Низкая            3        2        1

★ = ОПАСНЫЙ уровень (5-4)
   = ДОПУСТИМЫЙ уровень (3-1)

Опасный уровень может быть снижен до допустимого через митигирующие меры.

4 способа реагирования (п. 4.3)

  1. Уклонение (avoidance) — отказ от активности
  2. Сохранение (retention) — принятие риска до допустимого уровня
  3. Ограничение (mitigation) — снижение вероятности / ущерба
  4. Передача (transfer) — разделение / аутсорсинг (страхование, hedge)

3 уровня контроля (п. 4.4)

Уровень Содержание
Предварительный Кадры, должностные инструкции (исключающие COI), процедуры, оборудование, тех средства
Текущий Проверка соответствия операций требованиям закона и внутренних актов
Последующий Аудит, сопоставление план vs факт, расследование

Моё мнение

Это технически грамотный документ уровня ISO 31000 / COSO ERM. Whitebird применил стандартную банковскую риск-методологию к крипто-бизнесу. По-сути это документ, который любой Big-4 аудитор (KPMG/EY/PwC/Deloitte) подписал бы без правок.

Сильные стороны:

  1. 9 типов риска enumerated — полная картина. Большинство крипто-стартапов ограничиваются 3-4 типами.
  2. Кибер-риск выделен отдельно — это правильно, в крипто-индустрии 60-80 % крупных потерь = взломы.
  3. Risk Officer reports direct to CEO — без прослойки middle management. Стандарт зрелого финансового бизнеса.
  4. Конкретная risk matrix — даёт работникам tool, а не общую философию.
  5. Ежегодный обязательный пересмотр (п. 5.2) — preserves freshness.

Слабые стороны:

  1. Нет специфических крипто-рисков:
    • Smart-contract risk (для DeFi-интеграций)
    • Oracle risk (если используются price feeds)
    • Stablecoin de-peg risk (USDT/USDC)
    • Validator concentration risk (для proof-of-stake токенов)
    • Bridge risk (cross-chain operations)
  2. Нет risk appetite statement — где границы того, что Whitebird готов принимать?
  3. Нет KRI (Key Risk Indicators) — конкретных метрик для каждого риска.
  4. Нет stress testing methodology — что будет при флэш-крэше BTC на 50%?
  5. Нет связи с capital adequacy — сколько капитала зарезервировано против каждого риска?
  6. Нет упоминания BCP / DRP (Business Continuity Plan / Disaster Recovery Plan).

Что нужно команде Монтаны для копирования 1:1

  1. Risk Management Policy документ — расширение Whitebird до 11 типов риска:
    • Все 9 типов Whitebird
      • Smart-contract risk (если у нас будут DeFi-операции / staking / yield)
      • Oracle risk (если используем Chainlink/Pyth/UMA)
      • Stablecoin de-peg risk (отдельный фокус на USDT/USDC concentration)
      • Validator slashing risk (для нашей TimeChain)
      • Bridge risk (cross-chain operations)
  2. Назначение Chief Risk Officer (CRO):
    • Прямое подчинение CEO
    • Veto на любое решение, превышающее risk appetite
    • Ежеквартальные reports board of directors
    • Минимум CRO с 5+ лет финансового risk management опыта
  3. Risk Register — живой документ (можно в форме Notion / Confluence / specialized GRC tool):
    • Каждый risk: id, описание, источник, текущая оценка (значимость / вероятность / score), митигирующие меры, owner, deadlines, статус
    • Обновление еженедельно для opasных рисков, ежемесячно для допустимых
  4. Risk Matrix 5×5 (не 3×3) — рекомендую более гранулярную:
    • Значимость: catastrophic / severe / significant / moderate / minor
    • Вероятность: almost certain / likely / possible / unlikely / rare
    • Это даст 5 уровней: critical / high / medium / low / very low — вместо двух у Whitebird
  5. Risk Appetite Statement — публичный документ для regulators:
    • Cyber: нулевая толерантность к проникновениям в hot wallets
    • Operational: max 0.1 % annual loss от revenue
    • Credit: max 1 % unsecured client exposure
    • Liquidity: 30 % AUM в highly liquid assets (USDC + cash)
    • Market: VaR-limit 5 % equity на proprietary book
  6. Key Risk Indicators (KRI) Dashboard:
    • Real-time индикаторы для каждого риска
    • Auto-alerts при пересечении threshold
    • Heatmap уровня риска по подразделениям
  7. Quarterly Risk Reports — формальный документ для совета директоров и регулятора:
    • Top-10 рисков с motion (improved/stable/worsened)
    • Incident summary
    • Mitigation actions completed / pending
    • Forward-looking risks
  8. Stress Testing Framework:
    • Сценарии: BTC -50 % за 24h, USDT de-peg к $0.95, банк-партнёр заморожен на 7 дней, DDoS на 72 часа, утечка hot wallet keys, регулятор отозвал лицензию
    • Раз в квартал — полный stress test
  9. BCP / DRP документы — отдельно от Risk Policy, но связано:
    • RTO (Recovery Time Objective) для каждого критического сервиса
    • RPO (Recovery Point Objective) для данных
    • Disaster simulation exercise — раз в полугодие
  10. Risk Officer training program — мандатный onboarding для всех новых сотрудников.

Что точно скопировать у Whitebird (формулировки)

  • «СУР подлежит по крайней мере ежегодному пересмотру» — обязательная цикличность
  • Структура Глав 1-5 как skeleton: Общие положения → Виды рисков → Структура управления → Процесс → Прочее
  • «Опасный уровень риска может быть снижен до допустимого уровня в результате принятия Компанией мер по минимизации риска» — формулировка переходов между статусами

Ссылки внутри Whitebird-стека

  • → #17 (положение о конфликте интересов — связанный документ)
  • → #28 (политика обработки персональных данных — связано с кибер-риском)
  • → Должность Risk Officer (один из основных compliance ролей)