Р. Бедрединов - Управление операционными рисками банка: практические рекомендации

6.3.7. Ведение и оценка реестра рисков и карт рисков.

6.3.7.1. Реестр / матрица операционных рисков представляет собой базу данных с возможностью ввода, структурирования, хранения, обработки информации о выявленных операционных рисках банка и статусе работ по их оптимизации.

6.3.7.2. Целью ведения реестра операционных рисков является систематизация информации о выявленных банком рисках, их параметрах, результатах оценки и самооценки, контрольных процедур, поддержание информации об операционных рисках в актуальном состоянии. С помощью реестра операционных рисков осуществляется также контроль и мониторинг выполнения мероприятий по управлению операционными рисками.

6.3.7.3. Реестр операционных рисков включает в себя следующую информацию:

• описание операционного риска;

• информацию о владельце риска (подразделении и риск-координаторах, в чьей компетенции находится обязанность по минимизации операционного риска и работы с инцидентами, от его реализации);

• риск-факторы;

• описание контрольных процедур, направленных на минимизацию риска;

• оценку уровня операционного риска;

• описание запланированных мер по управлению операционным риском и статус их исполнения;

• выбранный банком метод управления операционным риском (обоснованное принятие, перенос, минимизация, отказ от вида деятельности);

• списки инцидентов, произошедших от реализации операционного риска;

• списки внешних инцидентов (в других банках), произошедших от реализации такого риска.

6.3.7.4. Реестр операционных рисков по усмотрению банка может включать в себя и другую информацию.

6.3.7.5. Реестр операционных рисков включает информацию о них, полученную в результате исполнения любого из 7 компонентов управления операционными рисками, предусмотренных разделом 6.

6.3.7.6. Риск-менеджеры организуют функционирование реестра рисков. Риск-координаторы обязаны регистрировать и обновлять в реестре рисков всю информацию о рисках своего департамента, курируемых им подразделений и сотрудников. Риск-менеджеры оказывают методическую поддержку в процессе ввода и актуализации информации, а также осуществляют контроль соответствия зарегистрированной в реестре рисков информации установленным требованиям.

6.3.8. Расчет размера операционного риска (VaR OpRisk).

6.3.8.1. Размер операционного риска банка может рассчитываться различными способами:

1. Базовым индикативным подходом (согласно требованиям Базель II и/или нормативных документов Банка России, в том числе, положению Банка России 346-П от 03.11.2009);

2. Стандартизованным подходом (согласно требованиям Базель II и/или нормативных документов Банка России);

3. Усовершенствованным («продвинутым») подходом (АМА) (согласно требованиям внутренних методик банка, разработанных во исполнение Базель II и/или нормативных документов Банка России);

4. Управленческим прогнозным подходом с учетом планов развития бизнеса (согласно внутренним методикам банка).

6.3.8.2. Во всех случаях когда операционный риск, рассчитанный согласно перечисленным выше подходам, предполагается к использованию в расчете показателей / нормативов банка для их представления в Банк России (например, в расчете показателя Н1 – достаточность капитала), применение такого подхода должно осуществляться согласно нормативному документу Банка России или подлежит предварительному согласованию с ним.

6.3.8.3. Размер операционного риска, полученный согласно каждому из способов, может быть различным исходя из особенностей учета (РСБУ, МСФО, внутренней управленческой отчетности).

6.3.8.4. Расчет размера операционного риска в рамках п. 6.3.8.1(а) осуществляется подразделениями банка, ответственными за учет банка по РСБУ, МСФО. Расчет размера операционного риска в рамках пп. 6.3.8.1(b-d) осуществляется подразделением по операционным рискам.

6.3.8.5. Расчет размера операционного риска регламентируется нормативными документами банка.

6.3.8.6. Расчет риска продвинутым способом в обязательном порядке должен основываться на анализе следующих данных (помимо анализа исторических данных об инцидентах):

1. Данных самооценки рисков (согласно п. 6.3.1).

2. Данных мониторинга ключевых индикаторов рисков (согласно п. 6.3.2).

3. Данных сценарного анализа рисков и стресс-тестирования (согласно п. 6.3.5).

4. Данных о внешних потерях от операционных рисков (согласно п. 6.3.6).

6.3.9. Эскалация рисков, идентифицированных аналитическим мониторингом.

6.3.9.1. При обнаружении рисков в рамках аналитического мониторинга риск-менеджер или риск-координатор инициирует работу с ними в рамках процедур п. 6.2.

6.4. Компонент № 4. Обеспечение непрерывности деятельности

Обеспечение непрерывности и возобновления деятельности (далее – ОНиВД) осуществляется в соответствии с Приложением 5 к Положению № 242-П для определения целей, задач, порядка, способов и сроков осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования банка и его подразделений, вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств).

6.4.1. Обеспечение непрерывности деятельности регламентируется двумя группами нормативных документов:

• планами непрерывности деятельности критичных процессов (BCP[38]);

• памятками действий сотрудников при чрезвычайных ситуациях;

• дополнительными документами, при недостаточности упомянутых выше, например, DRP[39].

6.4.2. Планы непрерывности деятельности банка.

План ОНиВД представляет собой совокупность модулей, каждый из которых описывает действия подразделений банка по одному критичному процессу, функции или обстоятельству. Бланк плана состоит из следующих основных частей:

Часть I. О непрерывности деятельности исполнителей процесса

• описание критически важной функции исполнителей;

• действия при выбытии исполнителей;

• действия при сбое программных и технических ресурсов;

• действия при выбытии помещений, используемых исполнителями;

• действия при наступлении иных чрезвычайных обстоятельств.

Часть II. О непрерывности деятельности серверного программного обеспечения (ПО), используемого в процессе