4.3.1.2. Аудит должен производится не чаще двух раз в год и не реже одного раза в год.
4.3.1.3. Права аудитора фиксируются в нормативных документах, регламентирующих деятельность подразделения по аудиту.
5. Этапы управления операционным риском
5.1. Четыре этапа управления риском
Управление операционными рисками состоит из четырех этапов:
Этап 1. Идентификация рисков (выявление, классификация, документирование).
Этап 2.Анализ и оценка (определение владельца, классификация, оценка, выбор метода управления, определение мероприятий).
Этап 3. Управляющее воздействие – выполнение мероприятий по минимизации риска.
Этап 4. Мониторинг (контроль исполнения мероприятий, измерение уровня риска, отчетность).
Схема 3. Взаимосвязь четырех этапов управления операционным риском
5.2. Два подхода управления риском
Для управления рисками используются два взаимодополняющих подхода:
• «сверху вниз» – подход, при котором оцениваются последствия реализации риска (прямые и косвенные потери/затраты, их влияние на конечные результаты деятельности банка);
• «снизу вверх» – подход, при котором выявляются и оцениваются источники, причины и последствия (потенциальные и реализованные) возникновения риска в подразделениях банка и бизнес-процессах. Идентификация рисков при таком подходе происходит путем оценки реакции сотрудников, процессов, технологий на внутренние или внешние воздействия, и при этом определяются точки контроля.
6. Компоненты управления операционными рисками
Для достижения целей управления операционными рисками, обозначенных в п. 2.1, субъекты управления операционными рисками выстраивают и поддерживают в эффективном состоянии следующие риск-процедуры, которые обозначаются как компоненты управления операционными рисками:
Компонент № 1. Эффективная работа с инцидентами.
Компонент № 2. Выявление рисков и их устранение.
Компонент № 3. Система раннего предупреждения рисков.
Компонент № 4. Обеспечение непрерывности деятельности.
Компонент № 5. Координация работы всех департаментов в управлении рисками.
Компонент № 6. Система отчетов и прогнозов, поддержание базы рисков.
Компонент № 7. Контроль соблюдения стандартов минимизации рисков.
6.1. Компонент № 1. Эффективная работа с инцидентами
6.1.1. Гарантии качественной обработки всех банковских инцидентов.
6.1.1.1. Банк организует работу со всеми видами банковских инцидентов[23]. По каждому виду инцидентов банк назначает департамент, который в рамках выполнения своих функций[24] отвечает за организацию и осуществление эффективной работы с этими инцидентами (за их идентификацию, минимизацию ущерба, расследование, отчеты об исполнении мер и за организацию прочих необходимых действий во всем банке, включая его территориальные подразделения). Непосредственно такую работу с инцидентами организуют риск-координаторы департаментов.
6.1.1.2. Риск-координатор назначает экспертов по инцидентам[25] в своем департаменте и среди сотрудников, функционально курируемых департаментом (в т. ч. в территориальных подразделениях), организует и контролирует их работу. Численность и местонахождение экспертов по инцидентам определяется так, чтобы они охватывали работой все инциденты своего вида во всем банке, включая все территориальные подразделения (при этом может использоваться удаленная работа с инцидентами).
6.1.1.3. По однотипным инцидентам[26] или инцидентам с уровнем значимости высокий и выше[27], риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты:
• виды инцидентов, подлежащих обработке, их признаки;
• порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников));
• классификацию критичности инцидентов этого вида;
• мотивацию сотрудников банка к регистрации сообщений об инцидентах;
24
Например, служба Helpdesk отвечает за организацию идентификации сбоев и их устранение, служба противодействия мошенничеству отвечает за организацию идентификации мошенничества и работу по фактам его выявления. Арбитром при разграничении компетенции по работе с теми или иными рисками или инцидентами между подразделениями являются риск-менеджеры, а при необходимости – комитет по рискам. Учет разделения ответственности за работу с рисками ведется риск-менеджерами в матрице рисков (согласно п. 6.3.7.).
25
Назначение экспертов по инцидентам (и в обязательном порядке лиц, замещающих их) производится из числа сотрудников, которые в текущем режиме уже занимаются работой с инцидентами или которые более всего подходят к такой работе в силу своих должностных или функциональных обязанностей (риск-координатор готовит списки всех функционально курируемых им экспертов по инцидентам, в т. ч. в регионах). Назначение статуса эксперта по инцидентам производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого эксперта по инцидентам фиксируется следующая обязанность: «Является экспертом по инцидентам и отвечает за организацию и осуществление эффективной идентификации и работы с инцидентами, находящимися в своей компетенции, а также за оказание помощи в организации функционирования риск-процедур в соответствии с правилами, установленными нормативными документами банка».
26
Вне зависимости от суммы убытка каждого инцидента, если количество таких инцидентов более 30 в месяц.