Шрифт:
Интервал:
Закладка:
6.1.9.1. Эффективность деятельности риск-координаторов в организации работы с инцидентами своего департамента и курируемых им подразделений и сотрудников оценивается по следующим показателям.
1. Количественные показатели: – рост сумм предотвращенных и возмещенных убытков; – рост количества учтенных инцидентов; – снижение времени обработки инцидентов.
2. Качественные показатели: – улучшение качества отчетов об инцидентах; – улучшение регламентов по идентификации инцидентов и их обработке; – улучшение отчетности по инцидентам.
6.1.9.2. Эффективность деятельности риск-менеджеров оценивается по тем же показателям, что отмечены в п. 6.1.9.1, но в разрезе всего банка.
Выявление рисков и их устранение (минимизация) – это анализ банка на предмет операционных рисков, идентификация рисков, определение мероприятий (рекомендаций) по их минимизации, контроль организации исполнения этих мероприятий владельцами процессов, в которых обнаружены риски.
Банк выделяет четыре этапа выявления рисков и их устранения
6.2.1. Этап 1. Анализ объектов потенциального риска и обнаружение рисков.
6.2.1.1. Субъектами выявления рисков и их устранения являются проверяющие: аудиторы, риск-менеджеры, риск-координаторы (последние в рамках процессов своих департаментов и курируемых подразделений) и специально уполномоченные сотрудники банка (например, сотрудники служб предупреждения мошенничества, юридической службы и др.).
Эти субъекты выявляют риски и формируют рекомендации по их устранению.
6.2.1.2. Объектами анализа могут выступать показатели работы банка, подразделений и сотрудников, отчеты, продукты, процессы, операции, подразделения, системы, нормативные, финансовые и иные документы, внешние факторы, влияющие на банк и иные объекты, которые могут послужить идентификации риска.
6.2.1.3. События, которые вызывают необходимость анализа и идентификации рисков:
• при формировании предложений по запуску / изменению банковского продукта;
• при формировании предложений по изменению бизнес-процессов (включая создание / изменение внутренних нормативных документов, подачу на исполнение бизнес-требований, бизнес-проектов, описывающих такие изменения);
• при изменении организационно-штатной структуры подразделений, их компетенции и выполняемых функций;
• при перераспределении функций и функциональных обязанностей сотрудников внутри подразделения, в том числе в связи с кадровыми назначениями и перестановками;
• при появлении внешних по отношению к банку факторов, влияющих на деятельность подразделений, действие которых будет носить долго– и среднесрочный характер (изменения в законодательстве, природные катаклизмы, техногенные факторы, социальные изменения и др.);
• при реализации катастрофических рисковых событий;
• при поступлении сообщений от системы раннего предупреждения рисков (см. п. 6.3), в т. ч. полученных в рамках самостоятельной оценки подразделениями уровня операционного риска их деятельности (RCSA).
По каждому виду перечисленных событий список проверяющих, которые обязаны провести анализ рисков и дать свое заключение, в числе прочего определяется матрицами полномочий согласно п. 6.7.2.1.5.
6.2.1.4. В некоторых случаях информация о риске или проблеме поступает в виде конкретного сообщения или является очевидной и не требует идентификации (например, обнаружено, что у подразделения нет обязательного отчета верхнего уровня по единому формату или нет показателей эффективности).
6.2.1.5. Риск-менеджеры обучают риск-координаторов так, чтобы они могли самостоятельно идентифицировать риски своего департамента и курируемых департаментом подразделений и сотрудников, классифицировать их и эскалировать на уровень риск-менеджера.
6.2.2. Этап 2. Фиксация риска как рекомендации (в т. ч. её согласование с владельцем процесса, в котором обнаружен риск).
6.2.2.1. Проверяющий, который идентифицировал риск, формирует рекомендацию по форме Приложения 5 (делает описание риска, определяет меры по его устранению или минимизации, владельца процесса, в котором обнаружен риск, сроки, тяжесть риска) и направляет её по e-mail владельцу процесса (см. п. 6.2.2.3), в котором обнаружен риск (самостоятельно или через риск-менеджеров). По взаимному согласию все параметры рекомендации могут корректироваться, однако если в течении 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно всех параметров рекомендации по форме Приложения 5, то они выносят этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.
6.2.2.2. В тех случаях, когда работы по минимизации риска уже ведутся или риск обозначается устранённым (без представления соответствующих подтверждений), рекомендации все равно фиксируются, назначаются к исполнению и будут считаться закрытыми только после проведения процедур по п. 6.2.3.4.
6.2.2.3. Ответственным за организацию исполнения рекомендации всегда обозначается одно лицо (во избежание перекладывания ответственности) – соответствующий руководитель департамента в чьем процессе обнаружен риск. В тех случаях, когда для исполнения рекомендации необходимы доработки информационно технологической структуры (далее ИТ), регламентов, оборудования или его закупки, проведение различных работ (в т. ч. рекламных кампаний, коррекции процессов, продуктов, систем мотивации и т. д.), указанный руководитель организует формирование необходимых требований на такие доработки, закупки, работы (при необходимости согласовывает их с риск-менеджерами) и контролирует их реализацию. При обнаружении некачественного исполнения таких требований ответственный эскалирует эту проблему до уровня риск-менеджера и комитета по рискам.
Ответственность за организацию исполнения рекомендации возлагается на нескольких ответственных только в тех случаях, когда не может возникнуть вероятность ситуации, в которой один ответственный может переложить часть ответственности за неисполнение рекомендации на другого ответственного. Например, рекомендация о представлении отчетов по единому формату может быть возложена на неограниченное число руководителей департаментов, так как каждый из них не сможет обосновать неисполнение рекомендации тем, что другой начальник не представил своего отчета.
6.2.2.4. Снижение уровня отдельных видов операционного риска может быть осуществлено путем внедрения контрольных процедур (согласно п. 6.3.4), передачи риска или его части третьим лицам (аутсорсинг). Аутсорсинг осуществляется на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между банком и поставщиком услуг. Для уменьшения финансовых последствий операционного риска (вплоть до полного покрытия потенциальных операционных убытков) возможно применение различных видов страхования.