Всего за 599 руб. Купить полную версию
14
Например, экспертами по инцидентам являются сотрудники службы Helpdesk, службы противодействия мошенничеству, расследующие инциденты; юристы, занимающиеся судебными делами; сотрудники, обрабатывающие претензии клиентов банка.
15
Регистраторами является каждый сотрудник банка по умолчанию. При этом в должностных инструкциях каждого сотрудника банка фиксируется следующая обязанность: «Выполняет обязанности регистратора операционных рисков в соответствии с правилами, установленными нормативными документами банка; при обнаружении инцидентов и проблем, которые могут вызывать ущерб или операционный риск, обязан незамедлительно сообщать о них экспертам по инцидентам; обязан оказывать помощь риск-координаторам и риск-менеджерам в организации функционирования риск-процедур)». Не реже 1 раза в полгода, а также при приеме на работу новых сотрудников все сотрудники знакомятся с памяткой регистратора (в электронном или бумажном варианте).
16
Факт несовершенства процессов является операционным риском (см. определение операционного риска).
17
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
18
Или заместитель председателя правления банка по рискам.
19
Сотрудники подразделения по операционным рискам.
20
Эти права внутренними нормативными документами могут быть предоставлены другим органам управления банка.
21
Шкалу рисков см. в п. 3.3.2.
22
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
23
Понятие инцидента см. в п. 3.2.
24
Например, служба Helpdesk отвечает за организацию идентификации сбоев и их устранение, служба противодействия мошенничеству отвечает за организацию идентификации мошенничества и работу по фактам его выявления. Арбитром при разграничении компетенции по работе с теми или иными рисками или инцидентами между подразделениями являются риск-менеджеры, а при необходимости – комитет по рискам. Учет разделения ответственности за работу с рисками ведется риск-менеджерами в матрице рисков (согласно п. 6.3.7.).
25
Назначение экспертов по инцидентам (и в обязательном порядке лиц, замещающих их) производится из числа сотрудников, которые в текущем режиме уже занимаются работой с инцидентами или которые более всего подходят к такой работе в силу своих должностных или функциональных обязанностей (риск-координатор готовит списки всех функционально курируемых им экспертов по инцидентам, в т. ч. в регионах). Назначение статуса эксперта по инцидентам производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого эксперта по инцидентам фиксируется следующая обязанность: «Является экспертом по инцидентам и отвечает за организацию и осуществление эффективной идентификации и работы с инцидентами, находящимися в своей компетенции, а также за оказание помощи в организации функционирования риск-процедур в соответствии с правилами, установленными нормативными документами банка».
26
Вне зависимости от суммы убытка каждого инцидента, если количество таких инцидентов более 30 в месяц.
27
Шкалу рисков см. в п. 3.3.2.
28
Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).
29
Вне зависимости от величины суммы убытка.
30
Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).
31
Имеются в виду департаменты, в которых субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).
32
Сумма может меняться комитетом по рискам.
33
Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).
34
Имеется в виду регистрация сообщений об инцидентах, их маршрутизация экспертам по инцидентам, регистрация отчетов об обработке инцидентов, напоминания об актуализации инцидентов, осуществляемые в технических системах банка.
35
При условии, что такая система внедрена и используется банком.
36
Формат этой страницы в обязательном порядке должен быть согласован с риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр этой страницы. Ссылка на эту страницу (с названием «Сообщить об инциденте») должна быть размещена и на главной внутренней странице банка (обычно мелким шрифтом в нижней части главной страницы сайта), и на рабочих столах каждого сотрудника банка. Не допускается помещение этой ссылки на второй уровень ссылок.
37
Указанные положения в числе прочих были предложены автором для отражения в инструкции ЦБ о правилах управления операционным риском (в рамках рабочей группы Ассоциации российских банков по внедрению стандартов управления операционным риском Базельского комитета в банках России).
38
Business continuity plan – план непрерывности деятельности (обеспечения бесперебойной деятельности).
39
Disaster Recovery Plan – план восстановления деятельности во время и после аварий. Применяется в основном для ИТ систем.
40
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
41
Или заместитель председателя правления по рискам.
42
Сотрудники подразделения по операционным рискам.
43
В приложениях не приводятся примеры сигнальной отчетности о ключевых индикаторах рисков; отчетов, формируемых в рамках раннего предупреждения; специальных адресных уведомлений руководства о крупных инцидентах и угрозах.
44
Ключевые показатели эффективности.
45
Если в этих подразделениях все субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).
46
Если такая работа производится подразделениями в своих автоматизированных программах, то эти подразделения должны обеспечить выгрузку данных из этих систем в формате, доступном для загрузки в единую базу операционных рисков.
47
Если такая база внедрена в банке.
48
В качестве целевых показателей могут выбираться количественные, проектные или событийные критерии.
49
Эти критерии должны определяться директором по рискам или заместителем председателя правления банка по рискам, согласовываться с комитетом по рискам и при необходимости утверждаться подразделением по персоналу, Правлением банка или Советом директоров. В качестве критериев могут быть избраны такие показатели, связанные с операционными рисками, как: предельное количество нарушений лимитов за период, предельная сумма нарушения лимитов, предельная сумма хищений денежных средств в курируемых процессах, предельная доля претензий клиентов от общего количества клиентов и др. Учет размеров убытков осуществляется в рамках процедур разделов 6.1 и 6.2 настоящих Рекомендаций.
50
Эти критерии должны определяться директором по рискам или заместителем председателя правления банка по рискам, согласовываться с комитетом по рискам и при необходимости утверждаться подразделением по персоналу, Правлением банка или Советом директоров. В качестве критериев могут быть избраны такие показатели, связанные с операционными рисками как:
• сумма предотвращенного годового убытка (за счет идентификации несовершенных процедур, в т. ч. в рамках согласования проектов нормативных документов, бизнес-требований и технических заданий, ошибочных настроек систем и иных процедур, генерирующих этот убыток, и их исправления); при этом суммы рисков и факты их устранения должны быть подтверждены владельцами процесса и подразделением по операционным рискам;