Управление операционными рисками банка: практические рекомендации
Шрифт:
• действия при наступлении иных чрезвычайных обстоятельств.
Часть II. О непрерывности деятельности серверного программного обеспечения (ПО), используемого в процессе
• описание ПО, расположенного на серверах, описание серверов и каналов связи, используемых в критически важной функции, SLA (соглашение об уровне обслуживания серверов и информационных систем на серверах);
• действия при сбое ПО, расположенного на серверах, серверов и каналов связи;
• действия при выбытии помещений, в которых расположены серверные программы;
• действия при выбытии исполнителей, обеспечивающих функционирование серверных программ, серверов и каналов связи;
• действия при наступлении
6.4.3. Бланк плана представлен в Приложении 7. Он заполняется риск-координаторами тех департаментов, чьи процессы признаются для банка значимыми (в части I п. 6.4.2) и риск-координатором ИТ-подразделения (в части II п. 6.4.2). Список значимых процессов обозначен в Приложении 8. Принципиальный подход разработки, согласования, утверждения, пересмотра и проверки (тестирования) плана ОНиВД представлен на схеме 5.
6.4.4. Памятки действий сотрудников при чрезвычайных ситуациях готовятся риск-координаторами, ответственными за работу с тем или иным видом чрезвычайной ситуации (ЧС). При необходимости памятки о различных ЧС могут объединяться.
6.4.5. Банк стремится обеспечивать непрерывность своей деятельности с минимальными издержками – резервные рабочие места по возможности должны размещаться на рабочих местах и компьютерах, используемых другими сотрудниками некритичных функций.
6.4.6. Правила и особенности деятельности по обеспечению непрерывности деятельности банка регламентируются нормативными документами банка.
6.5. Компонент № 5. Координация работы департаментов в управлении рисками
6.5.1. Согласно разделу 4 настоящих Рекомендаций для управления операционными рисками в банке существуют три линии защиты [40] :
1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.
40
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
Выделяют три вида ответственных:
• риск-координаторы (начальники департаментов и назначенные лица);
• эксперты по инцидентам;
• регистраторы (все сотрудники подразделения).
2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:
• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);
• директор по рискам [41] ;
41
Или заместитель председателя правления по рискам.
• риск-менеджеры [42] .
3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.
Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.
6.5.2. Порядок назначения, права и обязанности этих субъектов обозначены в разделе 4 настоящих Рекомендаций. Формат их работы, особенности взаимодействия, обучения и координации обозначены в остальных разделах прежде всего в разделе 6.
42
Сотрудники подразделения по операционным рискам.
6.5.3. Риск-менеджеры контролируют, чтобы структура субъектов управления операционными рисками соответствовала требованиям раздела 4 настоящих Рекомендаций, а формат их работы соответствовал требованиям всех разделов Рекомендаций и детализирующих её нормативных документов банка. Каждое несоответствие обозначается риском с уровнем «высокий», и решается в рамках процедур раздела 6.2.
6.5.4. Риск-менеджеры особое внимание уделяют организации следующих координирующих действий:
6.5.4.1. Актуализация списков ответственных за работу с операционными рисками своих подразделений (риск-координаторов – по правилам п. 4.1.1 и экспертов по инцидентам – по правилам п. 4.1.2), определение их прав в автоматизированной системе управления операционными рисками (если таковая внедрена в банке).
6.5.4.2. Обучение вышеназванных сотрудников, оказание им помощи в написании методик управления операционными рисками департамента, оперативная координация такой работы.
6.5.4.3. Мониторинг эффективности работы с операционными рисками (по правилам п. 6.2.5) и инцидентами (по правилам п. 6.1.9), контроль дисциплины, поддержание мотивации сотрудников к повышению эффективности управления своими операционными рисками.
6.5.4.4. Обеспечение всех подразделений актуальными отчетами об их операционных рисках (по правилам п. 6.6), эскалация вопросов о проблемах операционных рисков (по правилам п. 6.2).
6.5.4.5. Выполнение функций арбитра при разграничении компетенции по работе с рисками или инцидентами между подразделениями. Установление общих правил работы всех департаментов со своими операционными рисками и инцидентами, лимитами прав на решения об операционных рисках.
6.6. Компонент № 6. Построение системы отчетности о рисках и поддержка базы рисков
6.6.1. Отчетность о рисках.
6.6.1.1. Система отчетности банка об операционных рисках – это совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать внутренние структуры банка и внешних контрагентов надлежащей информацией об уровне операционного риска в банке с целью эффективного управления.
6.6.1.2. Банк, в числе прочего составляет следующие виды отчетности об операционных рисках (пример деления приведен на схеме 6):
• сигнальные (для немедленной эскалации мер) – см. Приложение 9.1 [43] ;
• о KPI [44] субъектов, управляющих операционными рисками (для оценки эффективности их деятельности) – см. пп. 6.1.9, 6.2.5, 6.6.3;
• общеаналитические (для оценки ситуации и тенденций по операционным рискам, последующей выработки мер) – см. Приложение 9.2.
43
В приложениях не приводятся примеры сигнальной отчетности о ключевых индикаторах рисков; отчетов, формируемых в рамках раннего предупреждения; специальных адресных уведомлений руководства о крупных инцидентах и угрозах.
44
Ключевые показатели эффективности.