невыполнение требований по изучению клиентов;
превышение лимитов риска на одного клиента/контрагента;
разногласия в оценках результатов консалтинговых услуг;
причинение ущерба физическим активам[70]:
причинение ущерба физическим активам в результате катастроф (природных и техногенных), терроризма, вандализма и иных форс-мажорных обстоятельств;
причинение ущерба физическим активам в результате обстоятельств, не являющихся форс-мажорными;
нарушения в системах ведения бизнес-процессов и сбои информационно-технологических систем[71]:
сбои программного обеспечения, информационных систем и технологий;
сбои оборудования и выход из строя аппаратного обеспечения;
сбои в работе телекоммуникаций;
сбои в энергоснабжении, водоснабжении, в работе отопительных систем, систем кондиционирования и иных технических систем;
ошибки в управлении процессами[72]:
неадекватная организация внутренних процессов и процедур, несовершенство распределения обязанностей и полномочий внутри бизнес-процесса, неправильные внутренние коммуникации и документооборот бизнес-процесса;
несоблюдение, неточное соблюдение правил и стандартов бухгалтерского учёта;
бухгалтерские технические ошибки (ошибки в бухгалтерских проводках);
ошибки при вводе, загрузке или поддержании данных в автоматизированной банковской системе (ошибки в атрибуции клиентов/контрагентов, процентных ставок, котировок, курсов валют, ошибки в отдельных аналитических модулях автоматизированной банковской системы);
ошибки при вводе, загрузке или поддержании данных в специализированных прикладных программах, используемых структурными подразделениями организации;
неправильное функционирование систем или моделей, ошибки в методологии, неправильно выбранная методология;
непреднамеренное превышение должностных полномочий (в том числе персональных лимитов);
прочие ошибки при выполнении задач по исполнению и поддержанию банковских операций;
неточная внешняя финансовая отчётность организации;
неточная внутренняя финансовая (бухгалтерская) отчётность (промежуточная отчётность, управленческая отчётность и т. п.);
неточная отчётность о деятельности организации (ежемесячная информация в адрес учредителей (акционеров) организации, иные формы отчётности);
отсутствующая или неполная юридическая документация по клиентам/контрагентам (в том числе кредитные досье, юридические досье и т. п.);
ошибки в договорных документах с клиентами/контрагентами;
утеря и некомплектность документов клиента/контрагента;
ошибки и неточности при совершении операций по счетам клиентов (несвоевременное списание/зачисление средств, неправильные реквизиты, прочие ошибки и неточности);
ошибки и неточности со стороны клиентов (неправильные реквизиты, прочие неточности, повлёкшие дополнительные затраты);
ошибки и неточности при совершении операций с контрагентами (операции по межбанковскому кредитованию, ведение корреспондентских счетов, операции с ценными бумагами и т. п.);
конфликты с контрагентами, в том числе предъявление штрафных санкций;
аутсорсинг (ошибки и неточности при выборе компаний, осуществляющих аутсорсинг, конфликты, непредоставление, ненадлежащее предоставление услуг и т. п.);
ошибки и неточности при оказании организации консалтинговых услуг;
конфликты с поставщиками, невыполнение обязательств перед организацией поставщиками услуг, исполнителями работ, неправильный выбор поставщика, подрядчика.
Оценка и мониторинг операционного риска предполагают качественное и количественное измерение операционного риска. В качестве основных подходов к измерению, оценке и мониторингу операционного риска используются следующие методы:
Численная (нормативная) оценка, которая проводится путём учёта необходимости резервирования капитала под события операционного риска, путём включения в расчёт показателя достаточности капитала.
Карты операционных рисков, первоначально составляемые на основе результатов опроса экспертов (руководителей и специалистов организации) по категориям риска для всей организации в целом и/или по структурным подразделениям и бизнес-процессам. По мере накопления данных об операционных потерях построение карты рисков проводится на основе фактических данных об операционных потерях. Карты операционных рисков используются для оценки риска, а также для его мониторинга.
Самооценка операционного риска, являющаяся экспертным балльно-весовым методом, позволяющим оценить уровень контроля операционных рисков или подверженность остаточному[73] (не контролируемому) операционному риску в разрезе выбранных единиц портфеля операционных рисков (структурных подразделений, бизнес-направлений) и категорий операционных рисков. Самооценка операционного риска осуществляется на основе анкетных опросов экспертов (руководителей структурных подразделений), которые проводят критическую самооценку уровня контроля операционных рисков в своих структурных подразделениях. Экспертные опросы проводятся в целях определения на выбранном объекте следующей информации:
факторы риска, которым подвержен выбранный объект риска;
возможные сценарии реализации выбранного фактора риска на выбранном объекте риска;
последствия реализации сценария и частота его реализации;
эффективность текущих мер контроля риска;
предложения по стратегии управления описанным риском и мероприятиям по минимизации последствий вследствие реализации риска;
ключевые показатели риска (ключевые индикаторы риска), которые могут быть использованы на выбранном объекте риска.
Расчёт ключевых показателей риска, основанный на системе числовых индикаторов (показателей и параметров), которые теоретически или эмпирически связаны с уровнем операционного риска. В их состав входят показатели, характеризующие частоту возникновения случаев операционных убытков, и показатели, косвенно характеризующие вероятность возникновения потерь.
Стресс-тестирование (сценарный анализ), используемое для анализа возможных значений операционных убытков в различных вариантах развития событий. Сценарный анализ позволяет смоделировать критические ситуации проявления операционного риска и оценить его влияние на деятельность организации.
Для минимизации операционного риска организация осуществляет регулирование операционного риска[74]. При определении методов ограничения (минимизации) операционных рисков организация подразделяет факторы операционного риска на подконтрольные (контролируемый[75] операционный риск) и неподконтрольные (остаточный операционный риск).
В целях ограничения операционных рисков при освоении новых направлений деятельности, продуктов, технологий и изменения ключевых бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.
В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:
способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);