4.1.2.3. Эксперт по инцидентам для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:
1. Принимать необходимые меры для локализации инцидентов в пределах своих полномочий.
2. Получать от любых подразделений банка и их сотрудников информацию об инцидентах, находящихся в его компетенции.
3. Направлять курирующему риск-координатору документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников нарушающих правила нормативных документов об управлении операционными рисками.
4. Обращаться к курирующему риск-координатору и риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.
5. Инициировать подготовку и изменение нормативных документов о процедурах работы с инцидентами.
4.1.2.4. О выполнении этих задач эксперт по инцидентам отчитывается перед курирующим риск-координатором и риск-менеджером с периодичностью, установленной нормативными документами банка.
4.1.3. Регистраторы.
4.1.3.1. Регистраторы[15] – это все сотрудники подразделений, так как в рамках выполнения своих функций они могут обнаруживать инциденты и проблемы, вызывающие операционный риск.
4.1.3.2. Обязанность регистратора при обнаружении инцидентов и проблем, вызывающих операционный риск:
1. Осуществлять действия по сохранению жизни и здоровья сотрудников и клиентов и предпринимать первичные действия по минимизации ущерба от инцидента (при наличии такой обязанности).
2. Незамедлительно сообщать эксперту по инцидентам и риск-координатору об инциденте или проблеме.
3. Осуществлять иные обязательные действия согласно правилам, установленным нормативными документами банка.
При необходимости регистратор обязан также оказывать помощь эксперту по инцидентам, риск-координатору и риск-менеджеру в организации риск-процедур, перечисленных в разделе 6.
4.1.3.3. Регистратор имеет право:
1. Обращаться к экспертам по инцидентам, риск-координаторам, риск-менеджерам для получения разъяснений об особенностях регистрации инцидентов и проблем, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне.
2. Ставить вопрос перед риск-координатором и риск-менеджером о необходимости изменения нормативных документов и процедур, имеющих проблемы[16].
4.1.3.4. Контроль за исполнением всеми сотрудниками подразделений обязанностей регистраторов осуществляет тот риск-координатор, чей департамент курирует этих сотрудников.
4.2. Субъекты второй линии защиты
Вторая «линия защиты» включает в себя процесс координации системы управления операционными рисками в целом, проверку данных и отчетов об операционных рисках, организацию деятельности комитетов по риску, представление отчетности руководству банка[17] (централизованный подход).
В рамках второй линии защиты операционными рисками управляют:
• комитет по рискам;
• директор по рискам[18];
• риск-менеджеры[19].
4.2.1. Комитет по рискам (или иной комитет, наделенный соответствующими полномочиями – далее – комитет по рискам).
4.2.1.1. Комитет по рискам (в рамках управления операционными рисками) – это высший коллегиальный орган, который принимает решения о действиях банка в отношении тех или иных рисков (в т. ч. операционных). Председателем комитета по рискам является директор по рискам с правом вето на любые решения комитета.
4.2.1.2. Права комитета по рискам (в рамках управления операционными рисками)[20]:
1. Принимает решения по обнаруженным операционным рискам красной зоны (уровня «высокий» и выше), а также по рискам желтой и зеленой зон в случаях, когда они были эскалированы до уровня комитета.
2. Инициирует разработку стратегий, политики и основополагающих подходов к управлению операционными рисками банка и представляет их на согласование в Правление банка.
3. Утверждает методологию управления операционными рисками для обеспечения общего понимания рисков.
4. Утверждает уровень операционного риска на год – риск-аппетит банка (пороговый риск в части разработки и утверждения мер по его минимизации).
5. Осуществляет постоянный мониторинг соответствия подходов к управлению операционными рисками принятой стратегии.
6. Получает и анализирует данные об уровне операционных рисков для принятия решений по управлению рисками.
7. Инициирует разработку эффективных мер и осуществляет последующий контроль над операционными рисками в рамках заседаний комитета.
8. Утверждает общую терминологию, формы отчетности и системы представления информации субъектами системы управления операционными рисками.
9. Утверждает меры по управлению операционными рисками и осуществлению контроля за их эффективностью.
10. Утверждает сферу компетенции подразделений по управлению операционными рисками, а также обеспечивает наличие у них достаточных ресурсов и соответствующего доступа к информации для эффективного осуществления своих функций.
11. Утверждает отчеты по управлению операционными рисками, подлежащими включению в отчет для Правления банка.
12. Разрешает разногласия, возникающие в ходе процесса управления операционными рисками.
4.2.2. Директор по рискам.
4.2.2.1. Директор по рискам (в рамках управления операционными рисками) – это лицо, которое принимает решения о действиях банка в отношении операционных рисков, относимых к рискам желтой зоны (уровню «средний и низкий»)[21], а также по рискам зеленой зоны в случаях, когда они были эскалированы до уровня директора по рискам.
4.2.2.2. Директор по рискам отвечает также за организацию управления операционными рисками во всем банке и за эффективность управления операционными рисками.
4.2.3. Риск-менеджеры.
4.2.3.1. Риск-менеджеры – это сотрудники, которые отвечают за организацию управления операционными рисками во всем банке (в каждом подразделении и каждым сотрудником). Риск-менеджерами являются все сотрудники подразделения по операционным рискам.
4.2.3.2. Обязанность риск-менеджера – организовать и контролировать выполнение в каждом департаменте и подразделении следующих риск-процедур:
1. Эффективная работа с инцидентами.
2. Выявление рисков и их устранение.
3. Функционирование системы раннего предупреждения рисков.
4. Обеспечение непрерывности деятельности.
5. Координация работы в управлении рисками.
6. Система отчетов и прогнозов, поддержание базы рисков.
7. Контроль соблюдения стандартов минимизации рисков.
Выполнение этих обязанностей должно соответствовать стандартам и требованиям настоящих Рекомендаций (прежде всего раздела 6).
4.2.3.3. Для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, риск-менеджер имеет право:
1. Проводить на предмет анализа операционных рисков проверку любого процесса банка, подразделения (за исключением подразделения по аудиту), ресурсов банка, документов без каких-либо специальных разрешений (проверки, связанные со входом в помещения, в которых осуществляется хранение ценностей, осуществляются на основании приказа Председателя правления банка).
2. Инициировать подготовку и изменение нормативных документов об управлении операционными рисками. Поручать разработку таких документов риск-координаторам, если эти документы касаются управления операционными рисками только одного или нескольких конкретных подразделений или региональных сотрудников.
3. Давать риск-координаторам, экспертам по инцидентам, регистраторам обязательные для исполнения указания о выполнения ими положений настоящих Рекомендаций и нормативных документов, составленных по их исполнению. Контролировать исполнение ими этих указаний.
4. Получать от любых подразделений банка и их сотрудников информацию о состоянии операционных рисков и об эффективности управления ими.
5. Направлять в подразделения по управлению персоналом документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников, нарушающих правила нормативных документов об управлении операционными рисками.
6. Обращаться к аудиторам для получения разъяснений о спорных вопросах об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.
6. Обращаться к аудиторам для получения разъяснений о спорных вопросах об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.
7. Эскалировать спорные вопросы по операционным риска на уровень комитета по рискам или Правления банка.
4.2.3.4. О выполнении этих задач риск-менеджеры отчитываются перед директором по рискам, перед Правлением банка и перед Советом директоров.
4.3. Субъекты третьей линии защиты
Третья «линия защиты» включает в себя процесс независимого контроля и регулярного аудита эффективности всей системы управления операционными рисками и контроля её соответствия требованиям ЦБ РФ и Базельского комитета[22].
В третьей линии защиты, операционными рисками управляет подразделение по аудиту, а именно аудиторы.
4.3.1. Аудиторы.
4.3.1.1. Обязанность аудитора (в рамках управления операционными рисками) – осуществлять текущий независимый контроль и регулярный аудит эффективности всей системы управления операционными рисками и её соответствия требованиям ЦБ РФ и Базельского комитета, а также давать заключения о соответствии или несоответствии с замечаниями, которые должны быть устранены.
4.3.1.2. Аудит должен производится не чаще двух раз в год и не реже одного раза в год.
4.3.1.3. Права аудитора фиксируются в нормативных документах, регламентирующих деятельность подразделения по аудиту.
5. Этапы управления операционным риском
5.1. Четыре этапа управления риском
Управление операционными рисками состоит из четырех этапов:
Этап 1. Идентификация рисков (выявление, классификация, документирование).
Этап 2.Анализ и оценка (определение владельца, классификация, оценка, выбор метода управления, определение мероприятий).
Этап 3. Управляющее воздействие – выполнение мероприятий по минимизации риска.
Этап 4. Мониторинг (контроль исполнения мероприятий, измерение уровня риска, отчетность).
Схема 3. Взаимосвязь четырех этапов управления операционным риском
5.2. Два подхода управления риском
Для управления рисками используются два взаимодополняющих подхода:
• «сверху вниз» – подход, при котором оцениваются последствия реализации риска (прямые и косвенные потери/затраты, их влияние на конечные результаты деятельности банка);
• «снизу вверх» – подход, при котором выявляются и оцениваются источники, причины и последствия (потенциальные и реализованные) возникновения риска в подразделениях банка и бизнес-процессах. Идентификация рисков при таком подходе происходит путем оценки реакции сотрудников, процессов, технологий на внутренние или внешние воздействия, и при этом определяются точки контроля.
6. Компоненты управления операционными рисками
Для достижения целей управления операционными рисками, обозначенных в п. 2.1, субъекты управления операционными рисками выстраивают и поддерживают в эффективном состоянии следующие риск-процедуры, которые обозначаются как компоненты управления операционными рисками:
Компонент № 1. Эффективная работа с инцидентами.
Компонент № 2. Выявление рисков и их устранение.
Компонент № 3. Система раннего предупреждения рисков.
Компонент № 4. Обеспечение непрерывности деятельности.
Компонент № 5. Координация работы всех департаментов в управлении рисками.
Компонент № 6. Система отчетов и прогнозов, поддержание базы рисков.
Компонент № 7. Контроль соблюдения стандартов минимизации рисков.
6.1. Компонент № 1. Эффективная работа с инцидентами
6.1.1. Гарантии качественной обработки всех банковских инцидентов.
6.1.1.1. Банк организует работу со всеми видами банковских инцидентов[23]. По каждому виду инцидентов банк назначает департамент, который в рамках выполнения своих функций[24] отвечает за организацию и осуществление эффективной работы с этими инцидентами (за их идентификацию, минимизацию ущерба, расследование, отчеты об исполнении мер и за организацию прочих необходимых действий во всем банке, включая его территориальные подразделения). Непосредственно такую работу с инцидентами организуют риск-координаторы департаментов.
6.1.1.2. Риск-координатор назначает экспертов по инцидентам[25] в своем департаменте и среди сотрудников, функционально курируемых департаментом (в т. ч. в территориальных подразделениях), организует и контролирует их работу. Численность и местонахождение экспертов по инцидентам определяется так, чтобы они охватывали работой все инциденты своего вида во всем банке, включая все территориальные подразделения (при этом может использоваться удаленная работа с инцидентами).
6.1.1.3. По однотипным инцидентам[26] или инцидентам с уровнем значимости высокий и выше[27], риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты:
• виды инцидентов, подлежащих обработке, их признаки;
• порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников));
• классификацию критичности инцидентов этого вида;
• мотивацию сотрудников банка к регистрации сообщений об инцидентах;
• порядок эскалации и определения шкалы срочности, которая должна быть применена к инцидентам данной категории;
• последовательность действий при реагировании на инцидент, данные об основных участниках процесса реагирования на инциденты и их обязанности;
• процесс анализа последствий инцидента;
• действия по ограничению распространения инцидента, устранению последствий;
• порядок актуализации инцидентов, по которым не все меры выполнены или возможно изменение существенных обстоятельств.
6.1.1.4. Все инциденты подлежат учету. При этом значимые инциденты[28] подлежат детальному учету, т. е. должны фиксироваться обстоятельства инцидента, принятые меры, их результаты, возможные изменения, прежде всего возможные поступления или отчисления, а также планируемые действия и сроки, предложения по вводу процедур недопущения повторений инцидента, по наказанию виновных и т. д. (писок полей приведен в Приложении 4).
6.1.2. Три основных этапа работы с инцидентами.
Работа с инцидентами делится на три этапа:
Этап 1. Обнаружение инцидента и реагирование на него (осуществляет эксперт по инцидентам);
Этап 2. Отчет об обработке инцидента (осуществляет эксперт по инцидентам);
Этап 3. Проверка качества обработки инцидента (осуществляют риск-координатор и риск-менеджер).
Схема 4. Три основных этапа работы с инцидентами
6.1.3. Этап 1. Обнаружение инцидента и реагирование на него.
Вне зависимости от количества субъектов, участвующих в обнаружении инцидента и реагировании на него, в целом за эти действия отвечает одно лицо – соответствующий эксперт по инцидентам.
6.1.3.1. Обнаружение признаков инцидента и регистрация сообщения.
6.1.3.1.1. При обнаружении признаков инцидента[29] незамедлительно осуществляются следующиепервичные действия:
• действия по сохранению жизни и здоровья сотрудников и клиентов и первичные действий по минимизации ущерба от инцидента (при наличии такой обязанности);
• регистрация сообщения об инциденте (по процедуре, установленной для этого вида инцидентов).
6.1.3.1.2. Обнаружить признаки и зарегистрировать сообщение может любой сотрудник банка (регистратор) или непосредственно эксперт по инцидентам. Сотрудник имеет право не регистрировать сообщение об инциденте, когда точно знает, что такая регистрация уже осуществлена другим сотрудником и впоследствии это может быть документально подтверждено.
В тех случаях, когда инцидент произошел, но не был зарегистрирован, привлечению к дисциплинарной ответственности за неисполнение функции регистрации подлежат руководитель подразделения, в котором произошел инцидент. Также в обязательном порядке производится разбирательство, должным ли образом риск-координатор и эксперт по инцидентам организовали процедуры идентификации и регистрации инцидентов (так, чтобы сотрудники банка, которые вероятнее всего могут обнаружить инцидент, знали о признаках таких инцидентов, знали, как регистрировать сообщения об инцидентах (с ними проводилось обучение), и были заинтересованы это делать). Если этого не было сделано, риск-координатор и эксперт по инцидентам также привлекаются к дисциплинарной ответственности.