Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования организации на предмет наличия или возможности возникновения факторов операционного риска, который осуществляется на нескольких уровнях:
анализ изменений в финансовой сфере организации в целом (освоение новых направлений деятельности, продвижение на рынке новых банковских услуг, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности;
анализ подверженности операционному риску направлений деятельности (бизнес-процессов) с учётом приоритетов организации;
анализ отдельных операций и сделок организации;
анализ внутренних процедур, включая систему отчётности и обмена информацией.
Процесс идентификации состоит из следующих процедур:
классификация (кодификация) типов возможных неблагоприятных[63] событий в разрезе источников[64] (причин) рисков;
сбор данных о внутренних и внешних событиях, их распределение по классификационным видам (категориям), определение типов и количества полученных и потенциальных потерь.
События реализации операционного риска происходят как при возникновении отдельных факторов, так и в результате сочетания нескольких факторов операционного риска, и организация определяет принадлежность каждого инцидента потерь (события реализации операционного риска) к тому или иному типу операционных рисков по следующим основным категориям:
внутреннее мошенничество[65]:
коррупционные действия сотрудников (злоупотребление служебным положением вопреки законным интересам организации в целях получения личной выгоды либо выгоды третьим лицам);
принудительные действия (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);
сговор сотрудников организации с третьими лицами (передача сотрудниками организации информации о своих клиентах/контрагентах конкурентам, занижение ставок при продаже ресурсов и т. д.);
сговор между сотрудниками с целью получения личной выгоды либо выгоды третьим лицам;
умышленное уничтожение материальных активов и информации, преднамеренное сокрытие или искажение фактов совершения сделок и заключения договоров;
преднамеренное превышение установленных лимитов с целью получения личной выгоды либо выгоды третьим лицам;
воровство (непосредственное присвоение наличных денежных средств или материальных активов);
мошеннические операции при расчётно-кассовом обслуживании (присвоение или растрата денежных средств, использование поддельных купюр, обман при совершении расчётов с клиентами и т. п.);
мошеннические операции со счетами клиентов (неправомерное списание средств со счетов, использование счетов клиентов для перевода денежных средств, отнесение собственных расходов на счета клиентов, манипулирование со счётом клиента и т. д.);
мошенничество с валютными операциями (злоупотребления при проведении конверсионных операций, учёте валютных средств организации и т. п.);
мошеннические операции с кредитами (выдача фиктивных кредитов, подделка документов при предоставлении кредитов; выдача кредитов под несуществующие залоги и т. п.);
мошенничество с ценными бумагами (противоправные манипуляции с ценными бумагами);
мошенничество при совершении бухгалтерских операций (противоправные манипуляции с бухгалтерскими счетами, необоснованное завышение и занижение сумм проводок, использование средств временно не используемых счетов и т. д.);
мошенничество в сфере хозяйственных операций (присвоение доходов от заключённых договоров с поставщиками, подрядчиками, присвоение доходов от арендной платы и т. п.);
мошенничество в сфере информационных систем и технологий;
внешнее мошенничество[66]:
воровство (непосредственное присвоение наличных денежных средств или материальных активов);
грабёж (открытое хищение имущества без применения насилия или с применением насилия, не опасного для жизни и здоровья, либо с угрозой применения такого насилия);
разбой (нападение в целях хищения имущества с применением опасного для жизни или здоровья насилия либо с угрозой применения такого насилия);
принудительные действия к сотруднику со стороны третьих лиц (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);
подделка, подлог (документов, удостоверяющих личность, печатей, доверенностей, платёжных документов, денежных купюр и т. п.);
предоставление заведомо ложных сведений о юридическом статусе, финансовом положении и т. п.;
взлом системы безопасности или доступа в автоматизированную систему организации, генерация фальшивых электронных проводок или операций в платёжной банковской системе;
взлом системы безопасности работы системы дистанционного обслуживания, криптографической защиты клиентских платежей в расчётных системах, генерация фальшивых электронных поручений от имени клиентов по управлению клиентскими счетами;
несанкционированный дистанционный доступ третьих лиц к информационным активам организации с целью кражи информации, модификации и/или её уничтожения;
внедрение в систему компьютерных вирусов и вредоносных программ, в том числе посредством использования электронной почты;
несанкционированный физический доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов;
кадровая политика и безопасность труда[67]:
нарушение договорных отношений в вопросах оплаты труда, выходных пособий, вознаграждения, компенсации сотрудникам, ошибки при найме и увольнении;
нарушение норм охраны здоровья и безопасности труда;
все типы дискриминации (по расовому, национальному, религиозному, половому и иным признакам);
ошибки в клиентской практике, условиях продажи продуктов, во взаимоотношениях с клиентами[68]:
недостатки в раскрытии информации о клиенте и контрагенте (принцип «Знай своего клиента»);
недостатки клиентской политики (неприемлемость сотрудничества с отдельными клиентами/контрагентами);
нарушения, связанные с раскрытием конфиденциальной информации клиента/контрагента, злоупотребление конфиденциальной информацией;
нарушение со стороны организации фидуциарных отношений[69];
нарушение организацией обязательств кредитора;
нарушение организацией обязательств по расчётно-кассовому обслуживанию;
неправильная деловая или рыночная практика;
нарушение законодательства по противодействию отмыванию доходов, полученных преступным путём, финансирования терроризма;
осуществление нелицензированной деятельности (предоставление услуг, подлежащих лицензированию, при отсутствии необходимой лицензии либо специального разрешения);
практика проведения банковских операций, не соответствующая общепринятой деловой или рыночной практике;
изъяны в продуктах расчётно-кассового обслуживания (претензии клиентов в части скорости обработки информации, документооборота, «ручной» обработки данных, тарифы, комиссии и т. п.);
изъяны в продуктах дистанционного банковского обслуживания;
изъяны в банковских продуктах с предоставлением посреднических услуг (в том числе конверсионные операции);
изъяны в банковских продуктах по кредитованию;
изъяны в иных банковских продуктах (за исключением расчётно-кассового обслуживания, дистанционного банковского обслуживания, посреднических операций);