Управление операционными рисками банка: практические рекомендации
Шрифт:
6. Компоненты управления операционными рисками
Для достижения целей управления операционными рисками, обозначенных в п. 2.1, субъекты управления операционными рисками выстраивают и поддерживают в эффективном состоянии следующие риск-процедуры, которые обозначаются как компоненты управления операционными рисками:
Компонент № 1. Эффективная работа с инцидентами.
Компонент № 2. Выявление рисков и их устранение.
Компонент № 3. Система раннего предупреждения рисков.
Компонент № 4. Обеспечение непрерывности деятельности.
Компонент № 5. Координация работы всех департаментов в управлении рисками.
Компонент № 6. Система отчетов и прогнозов, поддержание базы рисков.
Компонент № 7. Контроль соблюдения стандартов минимизации рисков.
6.1.
6.1.1. Гарантии качественной обработки всех банковских инцидентов.
6.1.1.1. Банк организует работу со всеми видами банковских инцидентов [23] . По каждому виду инцидентов банк назначает департамент, который в рамках выполнения своих функций [24] отвечает за организацию и осуществление эффективной работы с этими инцидентами (за их идентификацию, минимизацию ущерба, расследование, отчеты об исполнении мер и за организацию прочих необходимых действий во всем банке, включая его территориальные подразделения). Непосредственно такую работу с инцидентами организуют риск-координаторы департаментов.
23
Понятие инцидента см. в п. 3.2.
24
Например, служба Helpdesk отвечает за организацию идентификации сбоев и их устранение, служба противодействия мошенничеству отвечает за организацию идентификации мошенничества и работу по фактам его выявления. Арбитром при разграничении компетенции по работе с теми или иными рисками или инцидентами между подразделениями являются риск-менеджеры, а при необходимости – комитет по рискам. Учет разделения ответственности за работу с рисками ведется риск-менеджерами в матрице рисков (согласно п. 6.3.7.).
6.1.1.2. Риск-координатор назначает экспертов по инцидентам [25] в своем департаменте и среди сотрудников, функционально курируемых департаментом (в т. ч. в территориальных подразделениях), организует и контролирует их работу. Численность и местонахождение экспертов по инцидентам определяется так, чтобы они охватывали работой все инциденты своего вида во всем банке, включая все территориальные подразделения (при этом может использоваться удаленная работа с инцидентами).
25
Назначение экспертов по инцидентам (и в обязательном порядке лиц, замещающих их) производится из числа сотрудников, которые в текущем режиме уже занимаются работой с инцидентами или которые более всего подходят к такой работе в силу своих должностных или функциональных обязанностей (риск-координатор готовит списки всех функционально курируемых им экспертов по инцидентам, в т. ч. в регионах). Назначение статуса эксперта по инцидентам производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого эксперта по инцидентам фиксируется следующая обязанность: «Является экспертом по инцидентам и отвечает за организацию и осуществление эффективной идентификации и работы с инцидентами, находящимися в своей компетенции, а также за оказание помощи в организации функционирования риск-процедур в соответствии с правилами, установленными нормативными документами банка».
6.1.1.3. По однотипным инцидентам [26] или инцидентам с уровнем значимости высокий и выше [27] , риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты:
• виды инцидентов, подлежащих обработке, их признаки;
• порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников));
26
Вне зависимости от суммы убытка каждого инцидента, если количество таких инцидентов более 30 в месяц.
27
Шкалу рисков см. в п. 3.3.2.
• классификацию критичности инцидентов этого вида;
• мотивацию сотрудников банка к регистрации сообщений об инцидентах;
• порядок эскалации и определения шкалы срочности, которая должна быть применена к инцидентам данной категории;
• последовательность действий при реагировании на инцидент, данные об основных участниках процесса реагирования на инциденты и их обязанности;
• процесс анализа последствий инцидента;
• действия по ограничению распространения инцидента, устранению последствий;
• порядок актуализации инцидентов, по которым не все меры выполнены или возможно изменение существенных обстоятельств.
6.1.1.4. Все инциденты подлежат учету. При этом значимые инциденты [28] подлежат детальному учету, т. е. должны фиксироваться обстоятельства инцидента, принятые меры, их результаты, возможные изменения, прежде всего возможные поступления или отчисления, а также планируемые действия и сроки, предложения по вводу процедур недопущения повторений инцидента, по наказанию виновных и т. д. (писок полей приведен в Приложении 4).
28
Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).
6.1.2. Три основных этапа работы с инцидентами.
Работа с инцидентами делится на три этапа:
Этап 1. Обнаружение инцидента и реагирование на него (осуществляет эксперт по инцидентам);
Этап 2. Отчет об обработке инцидента (осуществляет эксперт по инцидентам);
Этап 3. Проверка качества обработки инцидента (осуществляют риск-координатор и риск-менеджер).
Схема 4. Три основных этапа работы с инцидентами
6.1.3. Этап 1. Обнаружение инцидента и реагирование на него.
Вне зависимости от количества субъектов, участвующих в обнаружении инцидента и реагировании на него, в целом за эти действия отвечает одно лицо – соответствующий эксперт по инцидентам.
6.1.3.1. Обнаружение признаков инцидента и регистрация сообщения.
6.1.3.1.1. При обнаружении признаков инцидента [29] незамедлительно осуществляются следующиепервичные действия:
• действия по сохранению жизни и здоровья сотрудников и клиентов и первичные действий по минимизации ущерба от инцидента (при наличии такой обязанности);
• регистрация сообщения об инциденте (по процедуре, установленной для этого вида инцидентов).
6.1.3.1.2. Обнаружить признаки и зарегистрировать сообщение может любой сотрудник банка (регистратор) или непосредственно эксперт по инцидентам. Сотрудник имеет право не регистрировать сообщение об инциденте, когда точно знает, что такая регистрация уже осуществлена другим сотрудником и впоследствии это может быть документально подтверждено.
29
Вне зависимости от величины суммы убытка.