Р. Бедрединов - Управление операционными рисками банка: практические рекомендации
6.1.7. Отчетность об инцидентах.
Еженедельно всем руководителям департаментов[31] представляется отчетность об инцидентах, которые относятся к их департаменту (количество инцидентов, убытки, динамика с начала года, наиболее крупные инциденты, крупные инциденты со статусом «Не закончено», инциденты, которые продолжают нести потенциальную угрозу убытка и пр.). Эти отчеты предоставляются риск-менеджерами.
Ежемесячно аналогичные отчеты представляются комитету по рискам.
Ежеквартально аналогичные отчеты представляются Правлению.
Ежегодно отчет об операционных рисках представляется Совету директоров.
Информация об инцидентах с фактическим убытком более 50 тыс. руб.[32] доводится до соответствующих руководителей департаментов, до риск-менеджеров и до директора по рискам не позднее четырех часов с момента обнаружения инцидента. Такие инциденты и осуществляемые по ним меры ставятся на особый контроль (в т. ч. в рамках процедур раздела 6.2).
6.1.8. Технологическая среда учета и обработки инцидентов.
6.1.8.1. Организация учета и обработки инцидентов должна удовлетворять следующим требованиям:
• все сообщения об инцидентах, отчеты об обработке инцидентов, замечания риск-координаторов и риск-менеджеров по отчетам должны фиксироваться на электронных носителях, поддерживающих последующую выгрузку этих данных в excel-таблицы;
• сообщение об инциденте должно маршрутизироваться (передаваться) соответствующему эксперту по инцидентам (для принятия его в работу) и соответствующему риск-координатору (для уведомления о факте инцидента) не позднее 5 минут после регистрации такого сообщения;
• должна поддерживаться маршрутизация (передача) отчетов о работе с инцидентом (по значимым инцидентам) от эксперта по инцидентам к риск-координатору и риск-менеджеру;
• по значимым инцидентам[33] отчет эксперта по инцидентам об обработке инцидента должен содержать обязательный перечень полей, которые должны быть заполнены (см. Приложение 4);
• обновленные выгрузки всех сообщений об инцидентах и отчетов об обработке инцидентов должны производится в формате excel-таблиц, доступном для загрузки в единую базу операционных рисков, на ежедневной основе.
6.1.8.2. Учет и обработка инцидентов[34] может производится в одной из следующих систем:
• в узкоспециализированной системе обработки инцидентов конкретного департамента;
• в единой базе операционных рисков[35].
Выбор использования системы определяется риск-координатором.
6.1.8.3. Если обработка инцидентов в узкоспециализированной системе имеет регулярные сбои и ошибки, не удовлетворяет требованиям нормативных документов банка, риск-менеджеры ставят вопрос о переносе работы с инцидентами из этой системы в единую базу операционных рисков (в комитет по рискам).
6.1.8.4. Для возможности легкой и быстрой регистрации сотрудниками инцидентов банк создает интернет страницу на своем внутреннем сайте с названием: «Сообщить об инциденте или проблеме»[36].
6.1.8.5. При отсутствии автоматизированных систем учета и обработки инцидентов риск-координаторы могут организовывать направление уведомлений по телефону или электронной почте, но с обязательной фиксацией в excel сообщений об инцидентах и отчетов о работе с инцидентами.
6.1.9.Критерии оценки эффективности работы с инцидентами.
6.1.9.1. Эффективность деятельности риск-координаторов в организации работы с инцидентами своего департамента и курируемых им подразделений и сотрудников оценивается по следующим показателям.
1. Количественные показатели: – рост сумм предотвращенных и возмещенных убытков; – рост количества учтенных инцидентов; – снижение времени обработки инцидентов.
2. Качественные показатели: – улучшение качества отчетов об инцидентах; – улучшение регламентов по идентификации инцидентов и их обработке; – улучшение отчетности по инцидентам.
6.1.9.2. Эффективность деятельности риск-менеджеров оценивается по тем же показателям, что отмечены в п. 6.1.9.1, но в разрезе всего банка.
6.2. Компонент № 2. Выявление рисков и их устранение
Выявление рисков и их устранение (минимизация) – это анализ банка на предмет операционных рисков, идентификация рисков, определение мероприятий (рекомендаций) по их минимизации, контроль организации исполнения этих мероприятий владельцами процессов, в которых обнаружены риски.
Банк выделяет четыре этапа выявления рисков и их устранения
6.2.1. Этап 1. Анализ объектов потенциального риска и обнаружение рисков.
6.2.1.1. Субъектами выявления рисков и их устранения являются проверяющие: аудиторы, риск-менеджеры, риск-координаторы (последние в рамках процессов своих департаментов и курируемых подразделений) и специально уполномоченные сотрудники банка (например, сотрудники служб предупреждения мошенничества, юридической службы и др.).
Эти субъекты выявляют риски и формируют рекомендации по их устранению.
6.2.1.2. Объектами анализа могут выступать показатели работы банка, подразделений и сотрудников, отчеты, продукты, процессы, операции, подразделения, системы, нормативные, финансовые и иные документы, внешние факторы, влияющие на банк и иные объекты, которые могут послужить идентификации риска.
6.2.1.3. События, которые вызывают необходимость анализа и идентификации рисков:
• при формировании предложений по запуску / изменению банковского продукта;
• при формировании предложений по изменению бизнес-процессов (включая создание / изменение внутренних нормативных документов, подачу на исполнение бизнес-требований, бизнес-проектов, описывающих такие изменения);
• при изменении организационно-штатной структуры подразделений, их компетенции и выполняемых функций;
• при перераспределении функций и функциональных обязанностей сотрудников внутри подразделения, в том числе в связи с кадровыми назначениями и перестановками;
• при появлении внешних по отношению к банку факторов, влияющих на деятельность подразделений, действие которых будет носить долго– и среднесрочный характер (изменения в законодательстве, природные катаклизмы, техногенные факторы, социальные изменения и др.);
• при реализации катастрофических рисковых событий;
• при поступлении сообщений от системы раннего предупреждения рисков (см. п. 6.3), в т. ч. полученных в рамках самостоятельной оценки подразделениями уровня операционного риска их деятельности (RCSA).