Р. Бедрединов - Управление операционными рисками банка: практические рекомендации

По каждому виду перечисленных событий список проверяющих, которые обязаны провести анализ рисков и дать свое заключение, в числе прочего определяется матрицами полномочий согласно п. 6.7.2.1.5.

6.2.1.4. В некоторых случаях информация о риске или проблеме поступает в виде конкретного сообщения или является очевидной и не требует идентификации (например, обнаружено, что у подразделения нет обязательного отчета верхнего уровня по единому формату или нет показателей эффективности).

6.2.1.5. Риск-менеджеры обучают риск-координаторов так, чтобы они могли самостоятельно идентифицировать риски своего департамента и курируемых департаментом подразделений и сотрудников, классифицировать их и эскалировать на уровень риск-менеджера.

6.2.2. Этап 2. Фиксация риска как рекомендации (в т. ч. её согласование с владельцем процесса, в котором обнаружен риск).

6.2.2.1. Проверяющий, который идентифицировал риск, формирует рекомендацию по форме Приложения 5 (делает описание риска, определяет меры по его устранению или минимизации, владельца процесса, в котором обнаружен риск, сроки, тяжесть риска) и направляет её по e-mail владельцу процесса (см. п. 6.2.2.3), в котором обнаружен риск (самостоятельно или через риск-менеджеров). По взаимному согласию все параметры рекомендации могут корректироваться, однако если в течении 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно всех параметров рекомендации по форме Приложения 5, то они выносят этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.

6.2.2.2. В тех случаях, когда работы по минимизации риска уже ведутся или риск обозначается устранённым (без представления соответствующих подтверждений), рекомендации все равно фиксируются, назначаются к исполнению и будут считаться закрытыми только после проведения процедур по п. 6.2.3.4.

6.2.2.3. Ответственным за организацию исполнения рекомендации всегда обозначается одно лицо (во избежание перекладывания ответственности) – соответствующий руководитель департамента в чьем процессе обнаружен риск. В тех случаях, когда для исполнения рекомендации необходимы доработки информационно технологической структуры (далее ИТ), регламентов, оборудования или его закупки, проведение различных работ (в т. ч. рекламных кампаний, коррекции процессов, продуктов, систем мотивации и т. д.), указанный руководитель организует формирование необходимых требований на такие доработки, закупки, работы (при необходимости согласовывает их с риск-менеджерами) и контролирует их реализацию. При обнаружении некачественного исполнения таких требований ответственный эскалирует эту проблему до уровня риск-менеджера и комитета по рискам.

Ответственность за организацию исполнения рекомендации возлагается на нескольких ответственных только в тех случаях, когда не может возникнуть вероятность ситуации, в которой один ответственный может переложить часть ответственности за неисполнение рекомендации на другого ответственного. Например, рекомендация о представлении отчетов по единому формату может быть возложена на неограниченное число руководителей департаментов, так как каждый из них не сможет обосновать неисполнение рекомендации тем, что другой начальник не представил своего отчета.

6.2.2.4. Снижение уровня отдельных видов операционного риска может быть осуществлено путем внедрения контрольных процедур (согласно п. 6.3.4), передачи риска или его части третьим лицам (аутсорсинг). Аутсорсинг осуществляется на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между банком и поставщиком услуг. Для уменьшения финансовых последствий операционного риска (вплоть до полного покрытия потенциальных операционных убытков) возможно применение различных видов страхования.

6.2.2.5. Для случаев, когда минимизация риска является недостаточной (по мнению риск-координаторов или риск-менеджеров), комитет по рискам (или директор по рискам в зависимости от тяжести риска (см. пп. 4.1.1.3(1), 4.2.1.2(1), 4.2.2.1.) принимает решение о принятии риска или отказе от операций, его обуславливающих.

6.2.2.6. По риску может быть предложен индикатор, отражающий снижение или рост риска (по процедурам п. 6.3.2).

6.2.3. Этап 3. Организация исполнения рекомендаций.

6.2.3.1. Ответственный, назначенный согласно п. 6.2.2.3, организует исполнение рекомендаций.

6.2.3.2. Списки всех обнаруженных проверяющими рисков и сформированных ими рекомендаций передаются для единого учета и контроля риск-менеджерам в формате Приложения 5. Риск-менеджеры учитывают эти рекомендации как меры по устранению рисков, следят за тем, чтобы не было дублирующихся рекомендаций, учитывают их в реестре рисков в рамках функционирования системы раннего предупреждения рисков (см. п. 6.3.7).

6.2.3.3. Не реже одного раза в месяц риск-менеджер по e-mail затребует от исполнителей рекомендаций промежуточные отчеты о состоянии исполнения рекомендаций, возникающих проблемах и необходимости их эскалации. В случае если отчеты не представляются, рекомендация в отчете перед Правлением банка приобретает статус проблемной.

6.2.3.4. Рекомендация считается закрытой, когда владелец процесса представил документ, подтверждающий устранение риска (служебную записку, приказ, регламент, заключение), а проверяющий и риск-менеджер лично проверили исполнение рекомендации и подтвердили это своим экспертным мнением. В случае если в течение 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно факта исполнения / не исполнения рекомендации риск-менеджер выносит этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.

6.2.4. Этап 4. Ежеквартальный отчет об исполнении рекомендаций владельцами процессов.

6.2.4.1. Не реже одного раза в квартал риск-менеджер формирует единый отчет для Правления банка о количестве рисков и прогресса их устранения по форме Приложения 6 с проектом решения о предупреждении владельцев процессов, допускающих нарушения в устранении своих рисков (непринятие рекомендации к исполнению, нарушение сроков). При неоднократном вынесении предупреждений владельцам процессов риск-менеджер ставит вопрос о привлечении их к дисциплинарной ответственности.

6.2.4.2. Каждый выявленный риск и меры по нему должны быть также учтены в реестре рисков (по процедурам п. 6.3.7).

6.2.5. Критерии оценки эффективности выявления рисков и их устранения.

6.2.5.1. Эффективность деятельности риск-координаторов по организации выявления рисков своего департамента и курируемых им подразделений и сотрудников (и устранения этих рисков) оценивается по следующим показателям.