Управление операционными рисками банка: практические рекомендации
Шрифт:
4. Получать от любых подразделений банка и их сотрудников информацию о состоянии операционных рисков и об эффективности управления ими.
5. Направлять в подразделения по управлению персоналом документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников, нарушающих правила нормативных документов об управлении операционными рисками.
6. Обращаться к аудиторам для получения разъяснений о спорных вопросах об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.
7. Эскалировать спорные вопросы по операционным риска на уровень комитета по рискам или Правления банка.
4.2.3.4. О выполнении этих задач риск-менеджеры отчитываются перед директором по рискам, перед Правлением банка и перед Советом директоров.
4.3. Субъекты третьей линии защиты
Третья «линия защиты» включает в себя процесс независимого контроля и регулярного аудита эффективности всей системы управления операционными рисками и контроля её соответствия требованиям ЦБ РФ и Базельского комитета [22] .
22
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
В третьей линии защиты, операционными рисками управляет подразделение по аудиту, а именно аудиторы.
4.3.1. Аудиторы.
4.3.1.1. Обязанность аудитора (в рамках управления операционными рисками) – осуществлять текущий независимый контроль и регулярный аудит эффективности всей системы управления операционными рисками и её соответствия требованиям ЦБ РФ и Базельского комитета, а также давать заключения о соответствии или несоответствии с замечаниями, которые должны быть устранены.
4.3.1.2. Аудит должен производится не чаще двух раз в год и не реже одного раза в год.
4.3.1.3. Права аудитора фиксируются в нормативных документах, регламентирующих деятельность подразделения по аудиту.
5. Этапы управления операционным риском
5.1. Четыре этапа управления риском
Управление операционными рисками состоит из четырех этапов:
Этап 1. Идентификация рисков (выявление, классификация, документирование).
Этап 2.Анализ и оценка (определение владельца, классификация, оценка, выбор метода управления, определение мероприятий).
Этап 3. Управляющее воздействие – выполнение мероприятий по минимизации риска.
Этап 4. Мониторинг (контроль исполнения мероприятий, измерение уровня риска, отчетность).
Схема 3. Взаимосвязь четырех этапов управления операционным риском
5.2. Два подхода управления риском
Для управления рисками используются два взаимодополняющих подхода:
• «сверху вниз» – подход, при котором оцениваются последствия реализации риска (прямые и косвенные потери/затраты, их влияние на конечные результаты деятельности банка);
• «снизу вверх» – подход, при котором выявляются и оцениваются источники, причины и последствия (потенциальные и реализованные) возникновения риска в подразделениях банка и бизнес-процессах. Идентификация рисков при таком подходе происходит путем оценки реакции сотрудников, процессов, технологий на внутренние или внешние воздействия, и при этом определяются точки контроля.
6. Компоненты управления операционными рисками
Для достижения целей управления операционными рисками, обозначенных в п. 2.1, субъекты управления операционными рисками выстраивают и поддерживают в эффективном состоянии следующие риск-процедуры, которые обозначаются как компоненты управления операционными рисками:
Компонент № 1. Эффективная работа с инцидентами.
Компонент № 2. Выявление рисков и их устранение.
Компонент № 3. Система раннего предупреждения рисков.
Компонент № 4. Обеспечение непрерывности деятельности.
Компонент № 5. Координация работы всех департаментов в управлении рисками.
Компонент № 6. Система отчетов и прогнозов, поддержание базы рисков.
Компонент № 7. Контроль соблюдения стандартов минимизации рисков.
6.1. Компонент № 1. Эффективная работа с инцидентами
6.1.1. Гарантии качественной обработки всех банковских инцидентов.
6.1.1.1. Банк организует работу со всеми видами банковских инцидентов [23] . По каждому виду инцидентов банк назначает департамент, который в рамках выполнения своих функций [24] отвечает за организацию и осуществление эффективной работы с этими инцидентами (за их идентификацию, минимизацию ущерба, расследование, отчеты об исполнении мер и за организацию прочих необходимых действий во всем банке, включая его территориальные подразделения). Непосредственно такую работу с инцидентами организуют риск-координаторы департаментов.
23
Понятие инцидента см. в п. 3.2.
24
Например, служба Helpdesk отвечает за организацию идентификации сбоев и их устранение, служба противодействия мошенничеству отвечает за организацию идентификации мошенничества и работу по фактам его выявления. Арбитром при разграничении компетенции по работе с теми или иными рисками или инцидентами между подразделениями являются риск-менеджеры, а при необходимости – комитет по рискам. Учет разделения ответственности за работу с рисками ведется риск-менеджерами в матрице рисков (согласно п. 6.3.7.).
6.1.1.2. Риск-координатор назначает экспертов по инцидентам [25] в своем департаменте и среди сотрудников, функционально курируемых департаментом (в т. ч. в территориальных подразделениях), организует и контролирует их работу. Численность и местонахождение экспертов по инцидентам определяется так, чтобы они охватывали работой все инциденты своего вида во всем банке, включая все территориальные подразделения (при этом может использоваться удаленная работа с инцидентами).
25
Назначение экспертов по инцидентам (и в обязательном порядке лиц, замещающих их) производится из числа сотрудников, которые в текущем режиме уже занимаются работой с инцидентами или которые более всего подходят к такой работе в силу своих должностных или функциональных обязанностей (риск-координатор готовит списки всех функционально курируемых им экспертов по инцидентам, в т. ч. в регионах). Назначение статуса эксперта по инцидентам производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого эксперта по инцидентам фиксируется следующая обязанность: «Является экспертом по инцидентам и отвечает за организацию и осуществление эффективной идентификации и работы с инцидентами, находящимися в своей компетенции, а также за оказание помощи в организации функционирования риск-процедур в соответствии с правилами, установленными нормативными документами банка».
6.1.1.3. По однотипным инцидентам [26] или инцидентам с уровнем значимости высокий и выше [27] , риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты:
• виды инцидентов, подлежащих обработке, их признаки;
• порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников));
26
Вне зависимости от суммы убытка каждого инцидента, если количество таких инцидентов более 30 в месяц.
27
Шкалу рисков см. в п. 3.3.2.