Особенности управления операционным риском

Система управления операционным риском включает (но, не ограничиваясь ими):

1. 
   политику управления операционным риском;
   
2. 
   процедуры выявления, измерения, мониторинга и контроля за операционным риском;
   
3. 
   систему управленческой информации;
   
4. 
   внутренний контроль;
   
5. 
   оценку эффективности системы управления операционным риском подразделением внутреннего аудита.
   

-

-

1) цели и задачи управления операционным риском;

2) основные принципы управления операционным риском;

3) классификацию типов событий операционного риска и основные виды операционных рисков;

4) допустимый уровень операционного риска банка;

5) определение участников процесса управления операционным риском на основе трех линий защиты, их полномочия, ответственность с четким определением структуры подотчетности;

6) определение порядка и процедур выявления, измерения, мониторинга и контроля за операционным риском, в том числе:

а) определение ключевых индикаторов операционного риска;

б) определение процедур и механизмов управления операционным риском;

7) порядок обмена информацией между участниками процесса управления операционным риском по трем линиям защиты, включая виды, формы и сроки представления информации;

8) процедуры одобрения, утверждения, анализа и мониторинга отклонений от политики, процедур, лимитов;

9) порядок и процедуры одобрения новых продуктов, видов деятельности, процессов и систем и (или) внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы;

10) требования по внесению изменений во внутренние документы и процедуры в случаях обнаружения недостатков в управлении операционным риском и (или) возникновения условий, влияющих на уровень подверженности банка операционному риску.

стратегию банка и виды деятельности, подвергающие банк операционному риску;

допустимый уровень риска банка;

размер, характер и сложность бизнеса банка;

сложность организационной структуры банка;

уровень и виды рисков, присущих деятельности банка;

размер подверженности банка операционному риску и оценку его воздействия на финансовое состояние банка;

эффективность примененных банком в прошлом процедур управления операционным риском;

ожидания в отношении любых потенциальных внутренних организационных изменений и (или) внешних изменений рыночных условий;

законодательство Республики Казахстан.

При разработке политики управления операционным риском банк руководствуется основными принципами управления операционным риском, которые предполагают, что во внутренних документах банка должны найти отражение:

порядок, правила и процедуры совершения банковских операций и других сделок;

функционирование информационных и других систем;

организация внутренних процессов, разделение полномочий, функциональных обязанностей;

меры по обеспечению физической безопасности, в том числе включающие требования к помещению, в которых располагаются банк, его филиалы, хранилище, сейфы, документы, архивы;

меры по защите информационных технологий и обеспечению информационной безопасности;

порядок взаимодействия подразделений и работников банка;

порядок представления отчетности и обмена информацией.

-

Вторая линия защиты обеспечивается независимым подразделением по управлению операционным риском.

Третья линия защиты обеспечивается подразделением внутреннего аудита посредством независимой оценки эффективности системы управления операционным риском банка.

-

1. 
   взаимодействие с подразделением по управлению операционным риском;
   
2. 
   содействие руководителю структурного подразделения в осуществлении контроля по соблюдению структурным подразделением политики и процедур по управлению операционным риском;
   
3. 
   координация вопросов обучения и обеспечения осведомленности работников структурного подразделения о требованиях политики и процедур по управлению операционным риском;
   
4. 
   координация подготовки и проведения самооценки операционных рисков в структурном подразделении;
   
5. 
   обеспечение полного и своевременного сбора и представления информации о событиях операционного риска в рамках своего подразделения в базе данных по операционным рискам;
   
6. 
   содействие подразделению по управлению операционным риском в формировании ключевых индикаторов риска;
   
7. 
   обеспечение полного и своевременного сбора и представления информации о ключевых индикаторах риска в подразделение по управлению операционным риском.
   

При назначении риск-координаторов по операционному риску учитываются размер банка, виды деятельности и сложность бизнес-процессов и организационной структуры банка.

-

разработка, внедрение и постоянное развитие системы управления операционным риском;

мониторинг и оценка уровня операционного риска банка, в том числе на основе информации, получаемой от других линий защиты;

формирование и предоставление отчетности или иной информации совету директоров банка, УКО и (или) правлению банка по управлению операционным риском;

взаимодействие и консультирование структурных подразделений по вопросам управления операционным риском;

координация вопросов обучения и обеспечения осведомленности работников банка о требованиях политики и процедур по управлению операционным риском;

осуществление формирования сводной отчетности о событиях операционного риска и отслеживание исполнения плана мероприятий по их устранению;

осуществление контроля за своевременным занесением информации по событиям операционных рисков в базу данных по операционным рискам риск-координаторами;

планирование, координация проведения и анализ результатов самооценки операционных рисков;

разработка совместно со структурными подразделениями ключевых индикаторов операционного риска и пороговых значений по ним;

планирование и координация работ по проведению сценарного анализа;

разработка и формирование карты рисков;

осуществление на периодической основе (не реже 1 раза в год) сравнительного анализа инструментов оценки операционного риска;

взаимодействие с внутренним аудитом.

-

проведения самооценки операционного риска;

применения ключевых индикаторов риска;

проведения сценарного анализа;

формирования карты рисков;

осуществления сбора и анализа внутренних данных по убыткам;

осуществления сбора и анализа внешних данных по убыткам;

описания (регламентации) бизнес-процессов;

использования результатов аудиторских проверок.

1) размер, характер и сложность бизнеса банка;

2) доступность внутренних и внешних данных для использования в качестве исходной информации;

3) состояние информационных систем и их возможности;

4) квалификацию и опыт персонала, вовлеченного в процесс управления операционным риском.

Ключевыми индикаторами риска могут являться: текучесть кадров, частота и серьезность ошибочных операций, продолжительность простоя информационно-технологических систем.

Сбор и анализ внутренних данных по убыткам (ведение базы данных по убыткам) – процесс, позволяющий оценить подверженность операционному риску и эффективность внутреннего контроля на основе информации об операционных убытках. Анализ случаев возникновения убытков дает представление о причинах крупных убытков и информацию о том, являются ли сбои в системе контроля эпизодическими или системными.

Сбор и анализ внешних данных по убыткам – процесс оценки степени подверженности банка риску на основе сбора и анализа информации о случаях возникновения убытков в других организациях. Банк может сопоставлять внешние данные об убытках с внутренними данными об убытках для выявления потенциальных недостатков в системе контроля или рисков.

Описание (регламентация) бизнес-процессов – процесс, в рамках которого структурными подразделениями, составляющими первую линию защиты, определяются основные этапы бизнес-процессов, виды деятельности, организационные функции. Описание (регламентация) бизнес-процессов способствует выявлению отдельных рисков, взаимозависимостей между рисками, недостатков контроля и управления рисками.

Результаты аудиторских проверок являются дополнительным источником информации в процессе управления операционным риском банка.

-

оценку рисков, присущих новым продуктам, видам деятельности, процессам и системам или в случае внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы;

осуществление анализа затрат и выгод от внедрения;

оценку изменений допустимого уровня операционного риска банка;

наличие необходимых механизмов контроля, процесса управления рисками;

наличие информации об уровне остаточных рисков;

внесение изменений в соответствующие лимиты или ограничения на все виды рисков;

наличие процедур и методов для выявления, измерения, мониторинга и контроля рисков, присущих новым продуктам, видам деятельности, процессам и системам или в случае внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы;

оценку возможностей банка по осуществлению инвестиций в человеческие ресурсы и технологическую инфраструктуру банка перед внедрением новых продуктов, видов деятельности, процессов и систем или в случае внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы.

Документы банка

-

критерии, состав и частоту отчетности по управлению операционным риском, представляемую различным получателям,

ответственных лиц (подразделений) банка за подготовку и доведение информации до соответствующих получателей.

При определении периодичности формирования и представления управленческой отчетности учитывается степень подверженности банка операционным рискам, а также темпы и характер ее изменений в операционной среде банка.

-

о внутренних финансовых и операционных показателях;

о событиях операционного риска, связанных с несоблюдением внутренних правил и требований законодательства Республики Казахстан;

о внешних событиях, в том числе о рынке и о событиях и условиях, имеющих существенное влияние для принятия решений;

о нарушениях допустимого уровня риска банка, а также пределов и\или лимитов, установленных в банке;

о последних существенных случаях возникновения операционного риска и убытков в банке в разбивке по объектам риска (направлениям деятельности), о размере ущерба с указанием причин, типов событий, последствий операционного риска;

о принимаемых корректирующих мерах по существенным случаям возникновения операционного риска и (или) об оценке эффективности принятых мер;

о результатах самооценки операционного риска;

о результатах мониторинга ключевых индикаторов риска;

о результатах сценарного анализа;

о карте рисков и результатах сравнительного анализа;

о результатах аудиторских проверок – при наличии.

При разработке внутреннего документа банк определяет представление информации совету директоров банка, УКО и правлению банка в полном объеме в соответствии с требованиями настоящего пункта.

Система управления непрерывностью деятельности включает, но не ограничивается следующими компонентами:

1. 
   политику управления непрерывностью деятельности банка;
   
2. 
   процедуры управления непрерывностью деятельности банка;
   
3. 
   систему управленческой информации;
   
4. 
   оценку эффективности системы управления непрерывностью деятельности подразделением внутреннего аудита.
   

-

-

1) организационную деятельность, включая установление требований и полного цикла непрерывности деятельности от разработки, внедрения и до первоначальной проверки способности банка к непрерывности деятельности;

2) поддержку способности к обеспечению непрерывности деятельности, которые включают в себя:

управление непрерывностью деятельности;

проведение регулярных учений по применению планов обеспечения непрерывности деятельности;

актуализацию плана обеспечения непрерывности деятельности, особенно в случаях возникновения существенных изменений в производственных и технологических процессах, рыночных\внешних условиях.

Политика управления непрерывностью деятельности включает, но не ограничивается следующим:

цели и задачи управления непрерывностью деятельности;

подходы и критерии банка по определению критичных бизнес-процессов (операций);

перечень критичных событий, связанных с угрозой возникновения последствий, препятствующих бесперебойному функционированию банка;

участников процесса управления непрерывностью деятельности, их полномочия и ответственность с четким определением структуры подотчетности;

мероприятия по обеспечению и поддержанию непрерывности деятельности.

-

1. 
   анализа влияния на деятельность банка;
   
2. 
   идентификации критичных видов деятельности;
   
3. 
   определения ресурсов, необходимых для поддержания критичных видов деятельности;
   
4. 
   анализа рисков непредвиденных обстоятельств;
   
5. 
   определения мер управления рисками непредвиденных обстоятельств;
   
6. 
   разработки плана (планов) по обеспечению непрерывности деятельности.
   

-

воздействий повреждений или потерь на персонал, помещения, технологии или информацию банка;

воздействий нарушения законодательных требований Республики Казахстан;

потери репутации.

Для проведения анализа влияния на деятельность банк (но, не ограничиваясь ими):

1) оценивает объем возможных потерь в связи с простоем предоставления критичных продуктов и услуг во времени;

2) устанавливает максимально приемлемый период простоя каждого вида деятельности путем идентификации:

максимального периода времени, в пределах которого деятельность должна быть возобновлена;

периода времени, в пределах которого должен быть возобновлен нормальный уровень осуществления деятельности;

3) выявляет виды и уровни выполнения деятельности, активы или иные ресурсы, которые необходимо непрерывно поддерживать в минимальном работоспособном состоянии и (или) восстанавливать в установленные сроки для предоставления критичных продуктов и услуг;

4) определяет объем ресурсов, минимально необходимых для восстановления и дальнейшего осуществления критичных видов деятельности в аварийном режиме;

5) устанавливает целевое время восстановления каждого из критичных видов деятельности. Целевое время восстановления должно быть меньше максимально допустимого времени простоя соответствующего продукта или услуги;

6) устанавливает целевую точку восстановления между последним резервированием данных и началом простоя критичного вида деятельности;

7) ранжирует критичные виды деятельности по целевому времени восстановления, выделяя приоритетные;

8) выявляет поставщиков, контрагентов, прочих заинтересованных сторон, от которых зависят критичные виды деятельности банка и как они могут оказать помощь банку при наступлении непредвиденных обстоятельств.

-

1. 
   персонал;
   
2. 
   помещения;
   
3. 
   технологии;
   
4. 
   информация;
   
5. 
   поставщики, внешние услуги и снабжение;
   
6. 
   финансовые ресурсы.
   

необходимое для поддержания критичных видов деятельности количество работников;

необходимые навыки и компетенции данных работников для работы в аварийном режиме.

При определении помещений, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет:

основные и альтернативные площадки;

помещения, требующие повышенной защиты.

При определении технологий, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет:

информационно-технологические услуги, поддерживающие критичные виды деятельности;

телекоммуникационные услуги, поддерживающие критичные виды деятельности;

прочие технологии, поддерживающие критичные виды деятельности, в том числе охрана периметра, технологии инкассации.

При определении информации, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет:

информацию, необходимую для выполнения критичных видов деятельности, включая внутренние документы банка;

объем информации, требующей восстановления (целевая точка восстановления);

методы хранения, защиты и восстановления этой информации.

При определении поставщиков, внешних услуг и снабжения, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет поставщиков, внешние услуги и снабжение, от которых зависит выполнение критичных видов деятельности.

При определении финансовых ресурсов, необходимых для поддержания критичных видов деятельности банк определяет объем финансовых ресурсов, потенциально доступный для исполнения плана обеспечения непрерывности и восстановления деятельности банка в случае возникновения непредвиденных обстоятельств.

-

В качестве угроз, которые могут оказать негативное воздействие на ресурсы, банк рассматривает, но не ограничивается следующим:

недоступность работников;

недоступность технологий, в том числе информационных и коммуникационных технологий (компьютерные вирусы, отказ компьютерных аппаратных средств, потеря связи);

недоступность снабжения (воды, электричества);

отсутствие доступа к зданиям (помещениям);

недоступность ключевых поставщиков, контрагентов;

недоступность ключевой информации;

недоступность финансовых ресурсов.

-

1) персонал;

2) помещения;

3) технологии;

4) информацию;

5) поставщиков, контрагентов и каналы снабжения.

При выборе мер управления рисками непредвиденных обстоятельств банк учитывает, но не ограничивается следующими факторами:

максимально приемлемый период простоя критичного вида деятельности;

затраты на реализацию плана обеспечения непрерывности и восстановления деятельности;

последствия бездействия;

реалистичность рисков и величину потерь от их реализации;

согласованность с установленными целями системы управления непрерывностью деятельности;

согласованность с политиками и процедурами по управлению рисками банка.

Банк определяет меры по поддержанию ключевых знаний и компетенций для обеспечения непрерывности своей деятельности. Эти меры включают, но не ограничиваются следующими вариантами:

регламентирование порядка осуществления критичных видов деятельности;

ведение списка дополнительных компетенций персонала, не использующихся в повседневной деятельности, для перераспределения функций в условиях нехватки работников;

обучение персонала дополнительным профессиональным навыкам, включая проведение кросс-функциональных тренингов;

восстановление необходимой численности персонала.

Банк определяет меры по снижению влияния на предоставление критичных продуктов и услуг в связи с отсутствием основных помещений. Эти меры включают, но не ограничиваются следующими вариантами:

предоставление альтернативных помещений;

перевод персонала в другие помещения банка;

использование рабочих мест работников, выполняющих некритичную работу;

работа на дому или в удаленных помещениях.

При выборе альтернативного помещения банк учитывает, но не ограничивается следующими особенностями:

защищенность помещения;

доступ к помещению;

близость от основного помещения;

наличие необходимых коммуникаций.

Банк определяет меры по поддержанию работоспособности в информационно-технологических и коммуникационных услуг, необходимых для обеспечения непрерывности деятельности, которые включают, но не ограничиваются следующим:

предоставление информационно-технологических и коммуникационных услуг внутри банка;

предоставление информационно-технологических и коммуникационных услуг из альтернативного помещения;

предоставление информационно-технологических и коммуникационных услуг сторонней организацией.

Меры по восстановлению информационно-технологических и коммуникационных услуг соответствуют целевому времени восстановления ключевых информационно-технологических и телекоммуникационных услуг, включают (но, не ограничиваясь) следующее:

«Горячий резерв» - распределение и резервирование технологических решений, что обеспечивает непрерывное предоставление информационно-технологических и телекоммуникационных услуг на запасной площадке в случае крушения основной;

«Теплый резерв» - восстановление технологического решения на запасной площадке, частично оснащенной информационно-технологической и телекоммуникационной инфраструктурой;

«Холодный резерв» - восстановление информационно-технологической и телекоммуникационной инфраструктуры «с нуля» на запасной площадке;

«Срочные поставки» - заключение договора с внешним поставщиком на срочную поставку запасного оборудования;

«Комбинированная стратегия» - стратегия, состоящая из сочетания вышеуказанных вариантов.

Банк обеспечивает целостность, доступность и конфиденциальность информации, необходимой для обеспечения непрерывности деятельности, в случае критичного события.

Способ хранения и восстановления информации согласовывается с результатами анализа влияния на деятельность и учитывает:

требования к объему восстанавливаемой информации, целевые точки и сроки восстановления информации;

защищенность хранения и передачи информации;

способы и надежность механизма восстановления;

частоту и объем резервируемой информации.

Банк определяет перечень используемых ресурсов (включая материальное снабжение, финансовые ресурсы) и мероприятия по обеспечению их наличия, в том числе от внешних поставщиков и контрагентов и иных заинтересованных лиц в случае критичного события, которые могут включать:

хранение дополнительных ресурсов, в том числе технологического и телекоммуникационного оборудования, в складских помещениях;

соглашения с поставщиком о срочной доставке (замене) ресурсов на складе;

наличие альтернативных поставщиков ресурсов.

-

1. 
   быть понятным ответственным лицам;
   
2. 
   быть доступным для использования ответственными лицами;
   

список критичных видов деятельности банка, а также максимальное допустимое время простоя, в том числе требующих восстановления;

целевое время восстановления этих видов деятельности, в том числе для информационных технологий и телекоммуникаций;

меры по минимизации риска потери репутации;

4) согласовываться с действиями внешних организаций;

5) содержать описание функций и ответственности персонала, участвующего в обеспечении непрерывности и восстановления деятельности;

6) иметь схему активации, в том числе:

процедуру принятия решения об активации, включая список работников, ответственных за подтверждение активации и условия, при которых требуется активация плана;

список работников, информируемых об активации плана;

7) содержать схему аварийных внешних и внутренних коммуникаций, уделяя внимание:

коммуникациям внутри команды работников, участвующих в восстановлении и аварийном предоставлении критичных продуктов и услуг;

коммуникациям с внешними организациями, участвующими в обеспечении непрерывности деятельности;

коммуникациям с уполномоченным органом;

коммуникациям со средствами массой информации и клиентами;

коммуникациям с контрагентами и прочими заинтересованными сторонами в ходе восстановительных работ;

методам коммуникации;

8) содержать требования к минимальному объему ресурсов и поставщиков, необходимых в различные моменты времени для восстановления и аварийного предоставления критичных видов деятельности;

9) содержать последовательность действий по восстановлению и непрерывному предоставлению критичных видов деятельности, в том числе:

схему вовлечения сторонних организаций в процесс восстановления;

схему вовлечения контрагентов и заинтересованных лиц банка в процесс восстановления деятельности банка;

последовательность и места восстановления критичных видов деятельности банка;

сроки и места восстановления критичных информационно-технологических услуг, а также последовательность действий по их восстановлению, в том числе восстановление сетевой инфраструктуры в новом здании, восстановление базовой функциональности, приложений и баз данных, синхронизации, резервного копирования, телекоммуникаций;

сроки и места мобилизации необходимых ресурсов.

10) содержать все необходимые детали, в том числе расположение запасных помещений, маршруты следования, контакты уполномоченного органа и иных органов власти, организаций, участвующих в восстановлении деятельности банка, а также способы связи с ними;

11) содержать метод документирования ключевой информации о ходе работ, принятых решениях и принятых мерах;

12) иметь схему:

отмены аварийного режима работы, включая критерии, позволяющие принять решение о завершении работы в аварийном режиме;

перехода к режиму повседневного функционирования;

восстановления нарушенных внутренних банковских процессов после ликвидации последствий непредвиденных обстоятельств;

13) иметь единственного владельца плана, ответственного за поддержание и пересмотр.

-

критичные виды деятельности защищены вне зависимости от серьезности критичного события;

данные планы обеспечивают деятельность банка в условиях непредвиденных обстоятельств и переход в режим повседневного функционирования.

Банк:

осуществляет тестирование, как отдельных элементов системы управления непрерывностью деятельности, так и в совокупности, в целях проверки надежности системы в целом;

осуществляет планирование тестирования таким образом, чтобы минимизировать влияние критичных событий, которые могут возникнуть в ходе проведения испытаний;

определяет цели и задачи каждого тестирования;

определяет группу наблюдателей (контролеров тестирования) из числа работников банка, ответственных за разработку планов по обеспечению непрерывности деятельности, работников, осуществляющих внутренний контроль, и в случае необходимости, независимых специалистов из организаций, специализирующихся на оказании консультационных услуг в сфере обеспечения непрерывности деятельности и информационной безопасности банка. Группа наблюдателей (контролеров тестирования) осуществляет:

контроль выполнения каждого теста;

оценку результатов тестирования;

составление протокола о проведении тестов, его результатах и отзывах, включая необходимые корректирующие действия;

согласование протокола с руководителями подразделений банка, задействованных в тестировании планов по обеспечению непрерывности деятельности.

составляет и согласовывает отчет по итогам проведения тестирования на основании согласованного протокола проверки, который в том числе включает анализ результатов тестирования, предложения по устранению выявленных недостатков и совершенствованию планов и других элементов системы управления непрерывностью деятельности банка.

Результаты тестирования с предложениями при необходимости по совершенствованию планов по обеспечению непрерывности деятельности направляются правлению банка и УКО для рассмотрения и совету директоров банка– для утверждения.

Решение совета директоров банка

критерии, состав и частоту отчетности по управлению непрерывностью деятельности банка, представляемой различным получателям,

ответственных лиц\подразделений за подготовку и доведение информации до соответствующих получателей.

-

о результатах анализа влияния на деятельность банка;

о результатах анализа рисков непредвиденных обстоятельств;

о результатах тестирования планов по обеспечению непрерывности деятельности банка;

о принимаемых корректирующих мерах и (или) об оценке эффективности принятых мер;

о результатах аудиторских проверок – при наличии.

При разработке внутреннего документа банк определяет представление информации совету директоров банка, УКО и правлению банка в полном объеме в соответствии с требованиями настоящего пункта.