Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы[11] риска, а также его величины[12].
Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.
Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.
Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения[13], выделяет следующие методы идентификации рисков:
● анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;
● анализ заключений рейтинговых агентств;
● анализ результатов внешних и внутренних проверок деятельности организации;
● анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;
● совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;
● самооценка через анализ так называемых чек-листов (контрольных листов);
● сценарный анализ.
Как уже указывалось выше, одним из основных инструментариев в части идентификации рисков является составление так называемой карты рисков, ведущейся в разрезе всех существующих видов риска, с учётом следующих показателей:
● название риска (приводится полное название риска в соответствии с применяемой градацией по их типу);
● источники возникновения риска (приводится описание основных инструментов/продуктов, процессов организации, её клиентов или контрагентов, которые могут сгенерировать возникновения риска);
● факторы вероятности риска (приводится описание события и/ или явления, оказывающего влияние на вероятность реализации риска);
● вероятность наступления риска (приводится описание оценочной категории вероятности появления риска, исходя из источников возникновения риска и факторов