6.1.3.1.3. Сообщения об инциденте должно поступать на рассмотрение соответствующего эксперта по инцидентам не более 5 минут после факта регистрации.
6.1.3.2. Реагирование на инцидент.
6.1.3.2.1. После осуществления первичных действий и получения сообщения об инциденте эксперт по инцидентам осуществляет следующие действия:
• направляет регистратору инцидента уведомление: «Сообщение об инциденте (название инцидента) принято в работу (Ф.И.О. эксперта по инцидентам)»;
• организует дальнейшую локализацию инцидента, устранение его последствий, при необходимости координируя деятельность других лиц, участвующих в работе с инцидентом;
• формирует отчет о работе с инцидентом (не позже 4 часов после регистрации сообщения об инциденте).
6.1.4. Этап 2. Отчет об обработке инцидента.
Эксперт по инцидентам составляет отчет о работе с инцидентом.
В случае если инцидент полностью исчерпан (все меры исполнены, изменений не прогнозируется), то регистратору инцидента направляется уведомление: «Закончена работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам. Подтвердите факт того, что инцидент полностью исчерпан».
В случае если инцидент имеет статус «Не закончен» (по инциденту предполагаются дополнительные меры или прогнозируются изменения), то регистратору инцидента направляется сообщение: «Закончена первичная работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам, об окончании работ будет сообщено дополнительно».
Если инцидент является значимым[30], то эксперт по инцидентам в своем отчете фиксирует детали инцидента согласно полям Приложения 4 и отправляет его на согласование риск-координаторуне позже чем через 4 часапосле регистрации сообщения об инциденте.
6.1.5. Этап 3. Проверка качества обработки инцидента.
Риск-координатор проверяет отчет об обработке инцидента, поступивший от эксперта по инцидентам (не позже чем через 4 часа после отправки отчета экспертом по инцидентам) и совершает следующие действия:
• в случае обнаружения неточностей, фактов о том, что не все обстоятельства установлены, не все прогнозы и планы зафиксированы, он возвращает отчет об инциденте с замечаниями, которые должны быть устранены;
• при отсутствии замечаний он подтверждает правильность и достоверность отчета, факты исполнения перечисленных в нем мер и направляет отчет на проверку риск-менеджерам, которые осуществляют аналогичную проверку отчета об инциденте.
6.1.6. Дополнительная работа с инцидентом.
Эксперт по инцидентам осуществляет дополнительные работы по инциденту и обновляет отчет об инциденте при наступлении следующих событий:
• если отчет об инциденте возвращен риск-координатором или риск-менеджером с замечаниями, которые должны быть устранены;
• если эксперт по инцидентам не успел осуществить все меры в течении четырех часов с момента регистрации сообщения об инциденте (обязанность отправки первичного отчета в течение четырех часов сохранятся);
• если наступил срок для совершения ранее запланированных дополнительных мер по инциденту (например, для установления содержания судебного решения, совершения звонка клиенту, дополнительного выезда и пр.);
• если требование об актуализации инцидента поступило от риск-координатора или риск-менеджера;
• если произошли изменения в обстоятельствах инцидента (например, поступили возмещения по инциденту или выявлены дополнительные убытки).
Все инциденты со статусом «Не закончено» (по инциденту предполагаются дополнительные меры или прогнозируются изменения) должны обновляться экспертом по инцидентам (с обновлением отчета о работе с инцидентом) не реже одного раза в две недели.
6.1.7. Отчетность об инцидентах.
Еженедельно всем руководителям департаментов[31] представляется отчетность об инцидентах, которые относятся к их департаменту (количество инцидентов, убытки, динамика с начала года, наиболее крупные инциденты, крупные инциденты со статусом «Не закончено», инциденты, которые продолжают нести потенциальную угрозу убытка и пр.). Эти отчеты предоставляются риск-менеджерами.
Ежемесячно аналогичные отчеты представляются комитету по рискам.
Ежеквартально аналогичные отчеты представляются Правлению.
Ежегодно отчет об операционных рисках представляется Совету директоров.
Информация об инцидентах с фактическим убытком более 50 тыс. руб.[32] доводится до соответствующих руководителей департаментов, до риск-менеджеров и до директора по рискам не позднее четырех часов с момента обнаружения инцидента. Такие инциденты и осуществляемые по ним меры ставятся на особый контроль (в т. ч. в рамках процедур раздела 6.2).
6.1.8. Технологическая среда учета и обработки инцидентов.
6.1.8.1. Организация учета и обработки инцидентов должна удовлетворять следующим требованиям:
• все сообщения об инцидентах, отчеты об обработке инцидентов, замечания риск-координаторов и риск-менеджеров по отчетам должны фиксироваться на электронных носителях, поддерживающих последующую выгрузку этих данных в excel-таблицы;
• сообщение об инциденте должно маршрутизироваться (передаваться) соответствующему эксперту по инцидентам (для принятия его в работу) и соответствующему риск-координатору (для уведомления о факте инцидента) не позднее 5 минут после регистрации такого сообщения;
• должна поддерживаться маршрутизация (передача) отчетов о работе с инцидентом (по значимым инцидентам) от эксперта по инцидентам к риск-координатору и риск-менеджеру;
• по значимым инцидентам[33] отчет эксперта по инцидентам об обработке инцидента должен содержать обязательный перечень полей, которые должны быть заполнены (см. Приложение 4);
• обновленные выгрузки всех сообщений об инцидентах и отчетов об обработке инцидентов должны производится в формате excel-таблиц, доступном для загрузки в единую базу операционных рисков, на ежедневной основе.
6.1.8.2. Учет и обработка инцидентов[34] может производится в одной из следующих систем:
• в узкоспециализированной системе обработки инцидентов конкретного департамента;
• в единой базе операционных рисков[35].
Выбор использования системы определяется риск-координатором.
6.1.8.3. Если обработка инцидентов в узкоспециализированной системе имеет регулярные сбои и ошибки, не удовлетворяет требованиям нормативных документов банка, риск-менеджеры ставят вопрос о переносе работы с инцидентами из этой системы в единую базу операционных рисков (в комитет по рискам).
6.1.8.4. Для возможности легкой и быстрой регистрации сотрудниками инцидентов банк создает интернет страницу на своем внутреннем сайте с названием: «Сообщить об инциденте или проблеме»[36].
6.1.8.5. При отсутствии автоматизированных систем учета и обработки инцидентов риск-координаторы могут организовывать направление уведомлений по телефону или электронной почте, но с обязательной фиксацией в excel сообщений об инцидентах и отчетов о работе с инцидентами.
6.1.9.Критерии оценки эффективности работы с инцидентами.
6.1.9.1. Эффективность деятельности риск-координаторов в организации работы с инцидентами своего департамента и курируемых им подразделений и сотрудников оценивается по следующим показателям.
1. Количественные показатели: – рост сумм предотвращенных и возмещенных убытков; – рост количества учтенных инцидентов; – снижение времени обработки инцидентов.
2. Качественные показатели: – улучшение качества отчетов об инцидентах; – улучшение регламентов по идентификации инцидентов и их обработке; – улучшение отчетности по инцидентам.
6.1.9.2. Эффективность деятельности риск-менеджеров оценивается по тем же показателям, что отмечены в п. 6.1.9.1, но в разрезе всего банка.
6.2. Компонент № 2. Выявление рисков и их устранение
Выявление рисков и их устранение (минимизация) – это анализ банка на предмет операционных рисков, идентификация рисков, определение мероприятий (рекомендаций) по их минимизации, контроль организации исполнения этих мероприятий владельцами процессов, в которых обнаружены риски.
Банк выделяет четыре этапа выявления рисков и их устранения
6.2.1. Этап 1. Анализ объектов потенциального риска и обнаружение рисков.
6.2.1.1. Субъектами выявления рисков и их устранения являются проверяющие: аудиторы, риск-менеджеры, риск-координаторы (последние в рамках процессов своих департаментов и курируемых подразделений) и специально уполномоченные сотрудники банка (например, сотрудники служб предупреждения мошенничества, юридической службы и др.).
Банк выделяет четыре этапа выявления рисков и их устранения
6.2.1. Этап 1. Анализ объектов потенциального риска и обнаружение рисков.
6.2.1.1. Субъектами выявления рисков и их устранения являются проверяющие: аудиторы, риск-менеджеры, риск-координаторы (последние в рамках процессов своих департаментов и курируемых подразделений) и специально уполномоченные сотрудники банка (например, сотрудники служб предупреждения мошенничества, юридической службы и др.).
Эти субъекты выявляют риски и формируют рекомендации по их устранению.
6.2.1.2. Объектами анализа могут выступать показатели работы банка, подразделений и сотрудников, отчеты, продукты, процессы, операции, подразделения, системы, нормативные, финансовые и иные документы, внешние факторы, влияющие на банк и иные объекты, которые могут послужить идентификации риска.
6.2.1.3. События, которые вызывают необходимость анализа и идентификации рисков:
• при формировании предложений по запуску / изменению банковского продукта;
• при формировании предложений по изменению бизнес-процессов (включая создание / изменение внутренних нормативных документов, подачу на исполнение бизнес-требований, бизнес-проектов, описывающих такие изменения);
• при изменении организационно-штатной структуры подразделений, их компетенции и выполняемых функций;
• при перераспределении функций и функциональных обязанностей сотрудников внутри подразделения, в том числе в связи с кадровыми назначениями и перестановками;
• при появлении внешних по отношению к банку факторов, влияющих на деятельность подразделений, действие которых будет носить долго– и среднесрочный характер (изменения в законодательстве, природные катаклизмы, техногенные факторы, социальные изменения и др.);
• при реализации катастрофических рисковых событий;
• при поступлении сообщений от системы раннего предупреждения рисков (см. п. 6.3), в т. ч. полученных в рамках самостоятельной оценки подразделениями уровня операционного риска их деятельности (RCSA).
По каждому виду перечисленных событий список проверяющих, которые обязаны провести анализ рисков и дать свое заключение, в числе прочего определяется матрицами полномочий согласно п. 6.7.2.1.5.
6.2.1.4. В некоторых случаях информация о риске или проблеме поступает в виде конкретного сообщения или является очевидной и не требует идентификации (например, обнаружено, что у подразделения нет обязательного отчета верхнего уровня по единому формату или нет показателей эффективности).
6.2.1.5. Риск-менеджеры обучают риск-координаторов так, чтобы они могли самостоятельно идентифицировать риски своего департамента и курируемых департаментом подразделений и сотрудников, классифицировать их и эскалировать на уровень риск-менеджера.
6.2.2. Этап 2. Фиксация риска как рекомендации (в т. ч. её согласование с владельцем процесса, в котором обнаружен риск).
6.2.2.1. Проверяющий, который идентифицировал риск, формирует рекомендацию по форме Приложения 5 (делает описание риска, определяет меры по его устранению или минимизации, владельца процесса, в котором обнаружен риск, сроки, тяжесть риска) и направляет её по e-mail владельцу процесса (см. п. 6.2.2.3), в котором обнаружен риск (самостоятельно или через риск-менеджеров). По взаимному согласию все параметры рекомендации могут корректироваться, однако если в течении 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно всех параметров рекомендации по форме Приложения 5, то они выносят этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.
6.2.2.2. В тех случаях, когда работы по минимизации риска уже ведутся или риск обозначается устранённым (без представления соответствующих подтверждений), рекомендации все равно фиксируются, назначаются к исполнению и будут считаться закрытыми только после проведения процедур по п. 6.2.3.4.
6.2.2.3. Ответственным за организацию исполнения рекомендации всегда обозначается одно лицо (во избежание перекладывания ответственности) – соответствующий руководитель департамента в чьем процессе обнаружен риск. В тех случаях, когда для исполнения рекомендации необходимы доработки информационно технологической структуры (далее ИТ), регламентов, оборудования или его закупки, проведение различных работ (в т. ч. рекламных кампаний, коррекции процессов, продуктов, систем мотивации и т. д.), указанный руководитель организует формирование необходимых требований на такие доработки, закупки, работы (при необходимости согласовывает их с риск-менеджерами) и контролирует их реализацию. При обнаружении некачественного исполнения таких требований ответственный эскалирует эту проблему до уровня риск-менеджера и комитета по рискам.
Ответственность за организацию исполнения рекомендации возлагается на нескольких ответственных только в тех случаях, когда не может возникнуть вероятность ситуации, в которой один ответственный может переложить часть ответственности за неисполнение рекомендации на другого ответственного. Например, рекомендация о представлении отчетов по единому формату может быть возложена на неограниченное число руководителей департаментов, так как каждый из них не сможет обосновать неисполнение рекомендации тем, что другой начальник не представил своего отчета.
6.2.2.4. Снижение уровня отдельных видов операционного риска может быть осуществлено путем внедрения контрольных процедур (согласно п. 6.3.4), передачи риска или его части третьим лицам (аутсорсинг). Аутсорсинг осуществляется на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между банком и поставщиком услуг. Для уменьшения финансовых последствий операционного риска (вплоть до полного покрытия потенциальных операционных убытков) возможно применение различных видов страхования.
6.2.2.5. Для случаев, когда минимизация риска является недостаточной (по мнению риск-координаторов или риск-менеджеров), комитет по рискам (или директор по рискам в зависимости от тяжести риска (см. пп. 4.1.1.3(1), 4.2.1.2(1), 4.2.2.1.) принимает решение о принятии риска или отказе от операций, его обуславливающих.
6.2.2.6. По риску может быть предложен индикатор, отражающий снижение или рост риска (по процедурам п. 6.3.2).
6.2.3. Этап 3. Организация исполнения рекомендаций.
6.2.3.1. Ответственный, назначенный согласно п. 6.2.2.3, организует исполнение рекомендаций.
6.2.3.2. Списки всех обнаруженных проверяющими рисков и сформированных ими рекомендаций передаются для единого учета и контроля риск-менеджерам в формате Приложения 5. Риск-менеджеры учитывают эти рекомендации как меры по устранению рисков, следят за тем, чтобы не было дублирующихся рекомендаций, учитывают их в реестре рисков в рамках функционирования системы раннего предупреждения рисков (см. п. 6.3.7).
6.2.3.3. Не реже одного раза в месяц риск-менеджер по e-mail затребует от исполнителей рекомендаций промежуточные отчеты о состоянии исполнения рекомендаций, возникающих проблемах и необходимости их эскалации. В случае если отчеты не представляются, рекомендация в отчете перед Правлением банка приобретает статус проблемной.
6.2.3.4. Рекомендация считается закрытой, когда владелец процесса представил документ, подтверждающий устранение риска (служебную записку, приказ, регламент, заключение), а проверяющий и риск-менеджер лично проверили исполнение рекомендации и подтвердили это своим экспертным мнением. В случае если в течение 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно факта исполнения / не исполнения рекомендации риск-менеджер выносит этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.
6.2.4. Этап 4. Ежеквартальный отчет об исполнении рекомендаций владельцами процессов.
6.2.4.1. Не реже одного раза в квартал риск-менеджер формирует единый отчет для Правления банка о количестве рисков и прогресса их устранения по форме Приложения 6 с проектом решения о предупреждении владельцев процессов, допускающих нарушения в устранении своих рисков (непринятие рекомендации к исполнению, нарушение сроков). При неоднократном вынесении предупреждений владельцам процессов риск-менеджер ставит вопрос о привлечении их к дисциплинарной ответственности.
6.2.4.2. Каждый выявленный риск и меры по нему должны быть также учтены в реестре рисков (по процедурам п. 6.3.7).
6.2.5. Критерии оценки эффективности выявления рисков и их устранения.
6.2.5.1. Эффективность деятельности риск-координаторов по организации выявления рисков своего департамента и курируемых им подразделений и сотрудников (и устранения этих рисков) оценивается по следующим показателям.
1. Количественные показатели: – рост сумм обнаруженных рисков; – рост сумм предотвращенных рисков; – увеличение количества устраненных рисков (рекомендаций); – увеличение количества проверенных процессов.