Чтение онлайн

• если эксперт по инцидентам не успел осуществить все меры в течении четырех часов с момента регистрации сообщения об инциденте (обязанность отправки первичного отчета в течение четырех часов сохранятся);

• если наступил срок для совершения ранее запланированных дополнительных мер по инциденту (например, для установления содержания судебного решения, совершения звонка клиенту, дополнительного выезда и пр.);

• если требование об актуализации инцидента поступило от риск-координатора или риск-менеджера;

• если произошли изменения в обстоятельствах инцидента (например, поступили возмещения по инциденту или выявлены дополнительные убытки).

Все инциденты со статусом «Не закончено» (по инциденту предполагаются дополнительные меры или прогнозируются изменения) должны обновляться экспертом по инцидентам (с обновлением отчета о работе с инцидентом) не реже одного раза в две недели.

6.1.7. Отчетность об инцидентах.

Еженедельно всем руководителям департаментов [31] представляется отчетность об инцидентах, которые относятся к их департаменту (количество инцидентов, убытки, динамика с начала года, наиболее крупные инциденты, крупные инциденты со статусом «Не закончено», инциденты, которые продолжают нести потенциальную угрозу убытка и пр.). Эти отчеты предоставляются риск-менеджерами.

Ежемесячно аналогичные отчеты представляются комитету по рискам.

Ежеквартально аналогичные отчеты представляются Правлению.

Ежегодно отчет об операционных рисках представляется Совету директоров.

Информация об инцидентах с фактическим убытком более 50 тыс. руб. [32] доводится до соответствующих руководителей департаментов, до риск-менеджеров и до директора по рискам не позднее четырех часов с момента обнаружения инцидента. Такие инциденты и осуществляемые по ним меры ставятся на особый контроль (в т. ч. в рамках процедур раздела 6.2).

6.1.8. Технологическая среда учета и обработки инцидентов.

6.1.8.1. Организация учета и обработки инцидентов должна удовлетворять следующим требованиям:

• все сообщения об инцидентах, отчеты об обработке инцидентов, замечания риск-координаторов и риск-менеджеров по отчетам должны фиксироваться на электронных носителях, поддерживающих последующую выгрузку этих данных в excel-таблицы;

• сообщение об инциденте должно маршрутизироваться (передаваться) соответствующему эксперту по инцидентам (для принятия его в работу) и соответствующему риск-координатору (для уведомления о факте инцидента) не позднее 5 минут после регистрации такого сообщения;

• должна поддерживаться маршрутизация (передача) отчетов о работе с инцидентом (по значимым инцидентам) от эксперта по инцидентам к риск-координатору и риск-менеджеру;

• по значимым инцидентам [33] отчет эксперта по инцидентам об обработке инцидента должен содержать обязательный перечень полей, которые должны быть заполнены (см. Приложение 4);

• обновленные выгрузки всех сообщений об инцидентах и отчетов об обработке инцидентов должны производится в формате excel-таблиц, доступном для загрузки в единую базу операционных рисков, на ежедневной основе.

6.1.8.2. Учет и обработка инцидентов [34] может производится в одной из следующих систем:

• в узкоспециализированной системе обработки инцидентов конкретного департамента;

• в единой базе операционных рисков [35] .

Выбор использования системы определяется риск-координатором.

6.1.8.3. Если обработка инцидентов в узкоспециализированной системе имеет регулярные сбои и ошибки, не удовлетворяет требованиям нормативных документов банка, риск-менеджеры ставят вопрос о переносе работы с инцидентами из этой системы в единую базу операционных рисков (в комитет по рискам).

6.1.8.4. Для возможности легкой и быстрой регистрации сотрудниками инцидентов банк создает интернет страницу на своем внутреннем сайте с названием: «Сообщить об инциденте или проблеме» [36] .

6.1.8.5. При отсутствии автоматизированных систем учета и обработки инцидентов риск-координаторы могут организовывать направление уведомлений по телефону или электронной почте, но с обязательной фиксацией в excel сообщений об инцидентах и отчетов о работе с инцидентами.

6.1.9.Критерии оценки эффективности работы с инцидентами.

6.1.9.1. Эффективность деятельности риск-координаторов в организации работы с инцидентами своего департамента и курируемых им подразделений и сотрудников оценивается по следующим показателям.

1. Количественные показатели: – рост сумм предотвращенных и возмещенных убытков; – рост количества учтенных инцидентов; – снижение времени обработки инцидентов.

2. Качественные показатели: – улучшение качества отчетов об инцидентах; – улучшение регламентов по идентификации инцидентов и их обработке; – улучшение отчетности по инцидентам.

6.1.9.2. Эффективность деятельности риск-менеджеров оценивается по тем же показателям, что отмечены в п. 6.1.9.1, но в разрезе всего банка.

Выявление рисков и их устранение (минимизация) – это анализ банка на предмет операционных рисков, идентификация рисков, определение мероприятий (рекомендаций) по их минимизации, контроль организации исполнения этих мероприятий владельцами процессов, в которых обнаружены риски.

Банк выделяет четыре этапа выявления рисков и их устранения

6.2.1. Этап 1. Анализ объектов потенциального риска и обнаружение рисков.

6.2.1.1. Субъектами выявления рисков и их устранения являются проверяющие: аудиторы, риск-менеджеры, риск-координаторы (последние в рамках процессов своих департаментов и курируемых подразделений) и специально уполномоченные сотрудники банка (например, сотрудники служб предупреждения мошенничества, юридической службы и др.).

Эти субъекты выявляют риски и формируют рекомендации по их устранению.

6.2.1.2. Объектами анализа могут выступать показатели работы банка, подразделений и сотрудников, отчеты, продукты, процессы, операции, подразделения, системы, нормативные, финансовые и иные документы, внешние факторы, влияющие на банк и иные объекты, которые могут послужить идентификации риска.

6.2.1.3. События, которые вызывают необходимость анализа и идентификации рисков:

• при формировании предложений по запуску / изменению банковского продукта;