Управление операционными рисками банка: практические рекомендации
Шрифт:
В тех случаях, когда инцидент произошел, но не был зарегистрирован, привлечению к дисциплинарной ответственности за неисполнение функции регистрации подлежат руководитель подразделения, в котором произошел инцидент. Также в обязательном порядке производится разбирательство, должным ли образом риск-координатор и эксперт по инцидентам организовали процедуры идентификации и регистрации инцидентов (так, чтобы сотрудники банка, которые вероятнее всего могут обнаружить инцидент, знали о признаках таких инцидентов, знали, как регистрировать сообщения об инцидентах (с ними проводилось обучение), и были заинтересованы это делать). Если этого не было
6.1.3.1.3. Сообщения об инциденте должно поступать на рассмотрение соответствующего эксперта по инцидентам не более 5 минут после факта регистрации.
6.1.3.2. Реагирование на инцидент.
6.1.3.2.1. После осуществления первичных действий и получения сообщения об инциденте эксперт по инцидентам осуществляет следующие действия:
• направляет регистратору инцидента уведомление: «Сообщение об инциденте (название инцидента) принято в работу (Ф.И.О. эксперта по инцидентам)»;
• организует дальнейшую локализацию инцидента, устранение его последствий, при необходимости координируя деятельность других лиц, участвующих в работе с инцидентом;
• формирует отчет о работе с инцидентом (не позже 4 часов после регистрации сообщения об инциденте).
6.1.4. Этап 2. Отчет об обработке инцидента.
Эксперт по инцидентам составляет отчет о работе с инцидентом.
В случае если инцидент полностью исчерпан (все меры исполнены, изменений не прогнозируется), то регистратору инцидента направляется уведомление: «Закончена работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам. Подтвердите факт того, что инцидент полностью исчерпан».
В случае если инцидент имеет статус «Не закончен» (по инциденту предполагаются дополнительные меры или прогнозируются изменения), то регистратору инцидента направляется сообщение: «Закончена первичная работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам, об окончании работ будет сообщено дополнительно».
Если инцидент является значимым [30] , то эксперт по инцидентам в своем отчете фиксирует детали инцидента согласно полям Приложения 4 и отправляет его на согласование риск-координаторуне позже чем через 4 часапосле регистрации сообщения об инциденте.
30
Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).
6.1.5. Этап 3. Проверка качества обработки инцидента.
Риск-координатор проверяет отчет об обработке инцидента, поступивший от эксперта по инцидентам (не позже чем через 4 часа после отправки отчета экспертом по инцидентам) и совершает следующие действия:
• в случае обнаружения неточностей, фактов о том, что не все обстоятельства установлены, не все прогнозы и планы зафиксированы, он возвращает отчет об инциденте с замечаниями, которые должны быть устранены;
• при отсутствии замечаний он подтверждает правильность и достоверность отчета, факты исполнения перечисленных в нем мер и направляет отчет на проверку риск-менеджерам, которые осуществляют аналогичную проверку отчета об инциденте.
6.1.6. Дополнительная работа с инцидентом.
Эксперт по инцидентам осуществляет дополнительные работы по инциденту и обновляет отчет об инциденте при наступлении следующих событий:
• если отчет об инциденте возвращен риск-координатором или риск-менеджером с замечаниями, которые должны быть устранены;
• если эксперт по инцидентам не успел осуществить все меры в течении четырех часов с момента регистрации сообщения об инциденте (обязанность отправки первичного отчета в течение четырех часов сохранятся);
• если наступил срок для совершения ранее запланированных дополнительных мер по инциденту (например, для установления содержания судебного решения, совершения звонка клиенту, дополнительного выезда и пр.);
• если требование об актуализации инцидента поступило от риск-координатора или риск-менеджера;
• если произошли изменения в обстоятельствах инцидента (например, поступили возмещения по инциденту или выявлены дополнительные убытки).
Все инциденты со статусом «Не закончено» (по инциденту предполагаются дополнительные меры или прогнозируются изменения) должны обновляться экспертом по инцидентам (с обновлением отчета о работе с инцидентом) не реже одного раза в две недели.
6.1.7. Отчетность об инцидентах.
Еженедельно всем руководителям департаментов [31] представляется отчетность об инцидентах, которые относятся к их департаменту (количество инцидентов, убытки, динамика с начала года, наиболее крупные инциденты, крупные инциденты со статусом «Не закончено», инциденты, которые продолжают нести потенциальную угрозу убытка и пр.). Эти отчеты предоставляются риск-менеджерами.
31
Имеются в виду департаменты, в которых субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).
Ежемесячно аналогичные отчеты представляются комитету по рискам.
Ежеквартально аналогичные отчеты представляются Правлению.
Ежегодно отчет об операционных рисках представляется Совету директоров.
Информация об инцидентах с фактическим убытком более 50 тыс. руб. [32] доводится до соответствующих руководителей департаментов, до риск-менеджеров и до директора по рискам не позднее четырех часов с момента обнаружения инцидента. Такие инциденты и осуществляемые по ним меры ставятся на особый контроль (в т. ч. в рамках процедур раздела 6.2).
32
Сумма может меняться комитетом по рискам.
6.1.8. Технологическая среда учета и обработки инцидентов.
6.1.8.1. Организация учета и обработки инцидентов должна удовлетворять следующим требованиям:
• все сообщения об инцидентах, отчеты об обработке инцидентов, замечания риск-координаторов и риск-менеджеров по отчетам должны фиксироваться на электронных носителях, поддерживающих последующую выгрузку этих данных в excel-таблицы;
• сообщение об инциденте должно маршрутизироваться (передаваться) соответствующему эксперту по инцидентам (для принятия его в работу) и соответствующему риск-координатору (для уведомления о факте инцидента) не позднее 5 минут после регистрации такого сообщения;