Управление операционными рисками банка: практические рекомендации
Шрифт:
1. Эффективная работа с инцидентами.
2. Выявление рисков и их устранение.
3. Система раннего предупреждения рисков.
4. Обеспечение непрерывности деятельности.
5. Координация работы всех департаментов в управлении своими рисками.
6. Система отчетов и прогнозов, поддержание базы рисков.
7. Контроль соблюдения стандартов минимизации рисков.
Ключевые цели и задачи
Схема 1. Процедуры (компоненты), с помощью которых банк управляет своими операционными рисками
3. Характеристики операционного риска
3.1. Понятие операционных рисков
Под операционными рисками понимаются риски банка, влекущие прямые и (или) косвенные потери (в т. ч. простои ресурсов) по следующим причинам, или под воздействием следующих факторов:
• случайные или преднамеренные действия физических и (или) юридических лиц, в том числе с участием сотрудников банка;
• несовершенство бизнес-процессов, в т. ч. организационной структуры банка в части распределения полномочий подразделений и служащих, порядка и процедур совершения банковских и других операций и сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядка и процедур, неэффективность внутреннего контроля;
• сбои в функционировании систем и оборудования;
• неблагоприятные внешние обстоятельства, находящиеся вне контроля банка (в т. ч. изменения законодательства, рыночной конъюнктуры, стихийных бедствий, других форс-мажорных обстоятельств).
3.2. Понятие инцидента
Под инцидентом понимается любое событие, связанное с операционными рисками, которое может повлечь ущерб для банка (материальный, имиджевый, и т. д.). Общая классификация инцидентов приведена в Приложении 1. Для целей учета различают значимые и незначимые инциденты.
Значимыми инцидентамибанк, например, признает все инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей [3] . Значимые инциденты подлежат детальному учету (подробнее см. в разделе 6.1 «Эффективная работа с инцидентами»). К незначимым инцидентам, в таком случае, относятся иные инциденты (с меньшей суммой убытка).
3
Под детальным учетом понимается фиксация по инциденту всех видов данных, указанных в Приложении 4. Граница в 10 тыс. рублей может быть изменена решением комитета по рискам (см. п. 4.2.1).
3.3. Классификация операционных рисков
Для целей анализа рисков и инцидентов (в т. ч. для расчета размера операционного риска) каждый идентифицированный риск, инцидент, убыток или проблема, обусловливающая риск, должны быть классифицированы по следующему списку критериев (список может быть расширен в рабочем порядке комитетом по рискам (см. п. 4.2.1):
3.3.1. По типу риска:
1. Риски техногенного, природного, социального характера.
2. Риски сбоев техники, программ, простоев.
3. Риски нарушений прав сотрудников, условий труда, конфликтов.
4. Риски ошибок в процессе обслуживания клиента или контрагента.
5. Риски ошибок внутреннего процесса, не связанного с обслуживанием клиента или контрагента.
6. Риски мошенничества и злоупотреблений с участием сотрудников банка.
7. Риски мошенничества и злоупотреблений с участием третьих лиц.
Эти типы рисков детализированы в Приложении 1.
3.3.2. По значимости:
1. Экстремальный (символьное обозначение AAA, красная зона).
2. Критичный (AA, красная зона).
3. Высокий (A, красная зона).
4. Средний (BB, желтая зона).
5. Низкий (B, желтая зона).
6. Допустимый (C, зеленая зона).
Эта шкала риска детализирована в Приложениях 2.1 и 2.2.
3.3.3. По бизнес-линии:
1. Банкинг физических лиц.
2. Банкинг юридических лиц.
3. Платежи и расчеты лиц, не являющихся клиентами банка.
4. Агентские услуги.
5. Биржевая и внебиржевая торговля.
6. Финансирование корпораций.
7. Управление активами.
8. Брокерские услуги.
Эти бизнес-линии детализированы в Приложении 3.
Могут использоваться и иные классификации риска.
4. Субъекты управления операционными рисками
Для управления операционными рисками в банке существуют три линии защиты [4] :
1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.
4
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
Выделяют три вида ответственных:
• риск-координаторы (начальники департаментов и назначенные лица);
• эксперты по инцидентам;
• регистраторы (все сотрудники подразделения).
2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:
• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);
• директор по рискам [5] ;
5
Или заместитель председателя правления по рискам.
• риск-менеджеры [6] .
3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.
Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.
Субъекты, управляющие операционными рисками
6
Сотрудники подразделения по операционным рискам.
Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач
4.1. Субъекты первой линии защиты
Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).
В рамках первой линии защиты в подразделениях банка операционными рисками управляют:
• риск-координаторы;
• эксперты по инцидентам;