1. Количественные показатели: – рост сумм обнаруженных рисков; – рост сумм предотвращенных рисков; – увеличение количества устраненных рисков (рекомендаций); – увеличение количества проверенных процессов.
2. Качественные показатели: – улучшение регламентов; – улучшение отчетности по рискам.
6.2.5.2. Эффективность деятельности риск-менеджеров оценивается по тем же показателям что отмечены в п. 6.2.5.1, но в разрезе всего банка.
6.3. Компонент № 3. Система раннего предупреждения рисков
Обеспечение раннего предупреждения рисков (их аналитический мониторинг) производится для измерения уровня операционного риска (текущего и прогнозного) с целью последующего осуществления управляющих воздействий по минимизации рисков.
Субъекты управления операционными рисками обеспечивают аналитический мониторинг рисков в рамках следующих форматов:
6.3.1. Самооценка рисков.
6.3.1.1. Самооценка рисков – это оценка операционных рисков подразделениями, в ходе которой они сами оценивают и представляют информацию о том, какие риски возникают в ходе деятельности их подразделения, как их можно предотвратить, каковы величина и частота потерь и др.
6.3.1.2. Основными параметрами самооценки являются:
• предмет самооценки (вид оцениваемого риска, процесса или операции);
• источники самооценки (категории или списки сотрудников, которые будут проходить самооценку рисков);
• регулярность самооценки;
• способ самооценки (заполнение сотрудниками подразделений анкет или прохождение ими интервью и опросов);
• присутствие независимых лиц (ответы в присутствии риск-менеджеров, риск-координаторов) или без такового;
• инструмент фиксации ответов (заполнение в базе рисков (что наиболее целесообразно для обеспечения анонимности) или в иных системах, или в excel-таблицах, или в бумажной форме).
6.3.1.3. Данные о том, какие ответы дали конкретные сотрудники являются закрытыми (не разглашаются). Проверку этих данных при необходимости может осуществить только подразделение по аудиту, внешние аудиторы или представители ЦБ РФ.
6.3.1.4. В исключительной компетенции риск-менеджеров находится:
• право инициирования проведения самооценки в подразделениях;
• определение параметров самооценки;
• содержание вопросов анкет, программ опросов и интервью самооценки;
• анализ данных, собранных в ходе самооценки;
• подготовка заключений и отчетов о самооценке;
• разработка регламентов и методик о порядке проведения самооценки.
6.3.1.5. При необходимости риск-менеджер может пользоваться помощью риск-координаторов для формулирования вопросов анкет, контроля за своевременностью заполнения анкет и пр.
6.3.1.6. Использование самооценки имеет ограничение: один и тот же сотрудник может отвлекаться от работы для дачи ответов на вопросы самооценки не чаще одного раза в квартал не более чем на один час.
6.3.2. Мониторинг ключевых индикаторов рисков.
6.3.2.1. Система ключевых индикаторов рисков (КИР) – это показатели или параметры, отражающие текущий уровень различных видов операционного риска банка, которые служат для обнаружения тенденций превышения уровня операционного риска над его предельным уровнем и осуществления упреждающих управляющих воздействий по минимизации этих рисков.
6.3.2.2. Основными параметрами индикаторов рисков являются:
• предмет индикатора (вид оцениваемого риска) и название индикатора;
• формула расчета индикатора;
• лимиты (пороговые значения) индикатора – пределы зеленой зоны значений индикатора (ситуация в пределах нормы), желтой (обострение ситуации, увеличение масштабов), красной (критическая ситуация);
• источники индикатора (категории или списки сотрудников, которые будут представлять или рассчитывать значение индикатора, или виды систем, из которых это значение будет браться, а также риск-координаторов, курирующих конкретные индикаторы);
• регулярность сбора значений индикатора;
• инструмент фиксации значений (заполнение в базе рисков, или в иных системах, или в excel-таблицах, или в бумажной форме);
• периодичность пересмотра эффективности индикатора.
6.3.2.3. В исключительной компетенции риск-менеджеров находится:
• право на установление индикаторов в подразделениях;
• определение параметров индикаторов;
• анализ данных индикаторов;
• подготовка заключений и отчетов об индикаторах;
• разработка общих регламентов и методик о порядке функционирования индикаторов и эскалации информации для принятия управленческих воздействий по минимизации рисков.
6.3.2.4. Система пороговых уровней (лимитов) КИР должна являться составной частью риск-аппетита и служить метрикой допустимого уровня операционного риска банка. Пороговые значения должны быть обоснованы и задокументированы, а также должны пересматриваться на регулярной основе.
6.3.2.5. При необходимости риск-менеджер может пользоваться помощью риск-координаторов для определения параметров индикаторов риска и контроля за своевременностью представления сотрудниками значений КИР.
6.3.2.6. Риск-координаторы несут ответственность за контроль своевременности представления значения индикаторов, которые они курируют, достоверность расчетов этих значений, организацию разработки порядка действий для ситуаций, когда значение индикатора переходит в желтую зону, и для ситуаций, когда оно переходит в красную зону.
6.3.3. Мониторинг ключевых показателей эффективности управления риском.
6.3.3.1. Субъекты управления операционными рисками устанавливают систему и критерии оценки эффективности управления операционными рисками во внутренних документах.
6.3.3.2. Соответствующий внутренний документ должен быть разработан прежде всего подразделением по аудиту для контроля за эффективностью принятых подразделениями и органами управления мер, обеспечивающих снижение уровня выявленных рисков, или документирование принятия руководством подразделения и (или) органами управления решения о приемлемости выявленных рисков (в соответствии с Положением ЦБ РФ от 16 декабря 2003 г. N 242-П). Подразделение по аудиту каждый год проводит анализ и формирует отчет перед Правлением банка о результатах соответствия системы управления риском критериям оценки её эффективности.
6.3.4. Мониторинг ключевых контролей риска.
6.3.4.1. Система ключевых контролей риска – это перечень контрольных процедур (например, обязательная проверка и акцепт платежной операции вторым сотрудником), исполнение которых минимизирует вероятность наступления инцидентов или иных негативных последствий риска. Контроли риска могут использоваться не только для предотвращения инцидентов, но и для их обнаружения (например, контрольные выгрузки / выборки фактов выдач кредитов клиентам с наличием просроченной задолженности).
6.3.4.2. Контрольные процедуры подлежат регулярному тестированию и пересмотру на предмет их влияния на остаточный риск. Перечень контрольных процедур и периодичность их тестирования должна учитываться в матрице контрольных процедур и матрице рисков (см. п. 6.3.7).
6.3.4.3. С целью наиболее полного охвата бизнес-процессов подразделений риск-координаторы заполняют / обновляют контроли в следующей последовательности:
• определяются бизнес-процессы подразделения;
• определяются основные риски, связанные с этими процессами, типичные инциденты для этих процессов;
• для каждого риска указывается его уровень, определяются существующие контрольные процедуры, способствующие его снижению;
• если контрольная процедура отсутствует либо она очевидно неэффективна, проектируются тесты, которые позволят проверить эффективность работы контрольной процедуры в целях снижения соответствующего ей риска;
• устанавливается периодичность тестирования.
6.3.4.4. По результатам тестирования контрольные процедуры совершенствуются с целью снижения связанных с ними рисков.
6.3.4.5. В случае, если невозможно или нецелесообразно введение/изменение контрольных процедур с целью снижения вероятности/тяжести последствий реализации риска, данный риск может быть принят.
6.3.4.6. Принятие риска допустимо в случаях, если возможные потери от реализации риска приемлемы для банка, и при этом введение/изменение контрольной процедуры по управлению этим риском:
• требует значительных материальных затрат либо затрат труда (в частности, значительных изменений в бизнес-процессах банка, закупки оборудования, доработки программного обеспечения);
• нецелесообразно в силу запланированных значительных изменений бизнес-процесса, устраняющих либо значительно снижающих данный риск.
6.3.4.7. Субъекты, которые имеют право принять риски, и лимиты их полномочий определены пп. 4.1.1.3(1), 4.2.1.2(1), 4.2.2.1.
• нецелесообразно в силу запланированных значительных изменений бизнес-процесса, устраняющих либо значительно снижающих данный риск.
6.3.4.7. Субъекты, которые имеют право принять риски, и лимиты их полномочий определены пп. 4.1.1.3(1), 4.2.1.2(1), 4.2.2.1.
6.3.5. Сценарный анализ рисков и стресс-тестирование.
6.3.5.1. Сценарный анализ и последующее стресс-тестирование – это моделирование возможного возникновения стрессовых ситуаций и сценариев их развития в оцениваемых процессах и операциях, которые могут привести к существенным убыткам и рискам (сценарный анализ) и последующее моделирование распределения частоты возникновения и размеров убытков (стресс-тестирование). Сценарный анализ направлен на получение оценки маловероятных, но возможных и крайне значительных по тяжести потерь. Экспертные заключения о таких сценариях могут даваться любыми специалистами банка, имеющими соответствующие познания о процессе или операции, которые подвергаются оценке, а также риск-менеджерами.
6.3.5.2. Основными параметрами сценарного анализа и стресс-тестирования являются:
• предмет анализа (вид оцениваемого риска, процесса или операции);
• источник получения экспертных заключений (категории или списки сотрудников, которые будут производить экспертное моделирование ситуаций и сценариев и представлять эти данные);
• регулярность анализа;
• способ получения экспертных заключений (заполнение сотрудниками подразделений анкет или прохождение ими интервью и опросов);
• присутствие независимых лиц (дача заключений в присутствии риск-менеджеров, риск-координаторов или без такового);
• инструмент фиксации экспертных заключений (заполнение в базе рисков (что наиболее целесообразно для обеспечения анонимности) или в иных системах, или в excel-таблицах, или в бумажной форме).
6.3.5.3. В исключительной компетенции риск-менеджеров находится:
• право инициирования проведения сценарного анализа и стресс-тестирования в подразделениях (далее анализа);
• определение параметров анализа;
• содержание вопросов анкет, опросов и интервью о предмете анализа;
• оценка данных, собранных в ходе анализа;
• подготовка заключений и отчетов об анализе;
• разработка регламентов и методик о порядке проведения анализа.
6.3.5.4. При необходимости риск-менеджер может пользоваться помощью риск-координаторов для формулирования вопросов анкет, контроля за своевременностью заполнения анкет и пр.
6.3.5.5. Использование сценарного анализа и стресс-тестирования имеет ограничение: не чаще одного раза в квартал один и тот же сотрудник может отвлекаться от работы для дачи ответов на вопросы не более чем на один час.
6.3.6. Анализ внешних потерь от операционных рисков.
6.3.6.1. Банк обеспечивает учет и анализ инцидентов, произошедших в других банках (бенчмаркинг). Такая работа осуществляется в целях предотвращения возможности возникновения таких инцидентов в банке и для минимизации вероятности наступления таких событий (впоследствии минимизация рисков таких инцидентов осуществляется по процедуре п. 6.2). Данные о таких инцидентах в обязательном порядке используются также в расчете размера операционного риска продвинутым способом (в рамках процедур п. 6.3.8.).
6.3.6.2. Учет производится после изучения обстоятельств инцидента и только в случае если банк признает, что аналогичные инциденты в банке не происходили и имеется вероятность того, что они могут произойти (банк осуществляет операции в рамках, которых произошел инцидент и отсутствуют технические и иные процедуры предотвращения таких инцидентов). Исходя из величины банка, в котором произошли инциденты, банк должен масштабировать (увеличить / уменьшить) такие потери применительно к своему масштабу[37].
6.3.6.3. Риск-менеджеры организуют функционирование базы рисков для возможности регистрации в ней инцидентов, произошедших в других банках. Риск-координаторы и эксперты по инцидентам обязаны регистрировать инциденты, произошедшие в других банках, о которых им стало известно (здесь их эффективность оценивается по показателю роста количества учтенных внешних инцидентов и улучшению качества их учета).
6.3.6.4. Риск-менеджеры могут также наладить регулярное получение такой информации из других источников (от организаций или источников, специализирующихся на учете такой информации, например из базы SAS OpRisk Global Data).
6.3.7. Ведение и оценка реестра рисков и карт рисков.
6.3.7.1. Реестр / матрица операционных рисков представляет собой базу данных с возможностью ввода, структурирования, хранения, обработки информации о выявленных операционных рисках банка и статусе работ по их оптимизации.
6.3.7.2. Целью ведения реестра операционных рисков является систематизация информации о выявленных банком рисках, их параметрах, результатах оценки и самооценки, контрольных процедур, поддержание информации об операционных рисках в актуальном состоянии. С помощью реестра операционных рисков осуществляется также контроль и мониторинг выполнения мероприятий по управлению операционными рисками.
6.3.7.3. Реестр операционных рисков включает в себя следующую информацию:
• описание операционного риска;
• информацию о владельце риска (подразделении и риск-координаторах, в чьей компетенции находится обязанность по минимизации операционного риска и работы с инцидентами, от его реализации);
• риск-факторы;
• описание контрольных процедур, направленных на минимизацию риска;
• оценку уровня операционного риска;
• описание запланированных мер по управлению операционным риском и статус их исполнения;
• выбранный банком метод управления операционным риском (обоснованное принятие, перенос, минимизация, отказ от вида деятельности);
• списки инцидентов, произошедших от реализации операционного риска;
• списки внешних инцидентов (в других банках), произошедших от реализации такого риска.
6.3.7.4. Реестр операционных рисков по усмотрению банка может включать в себя и другую информацию.
6.3.7.5. Реестр операционных рисков включает информацию о них, полученную в результате исполнения любого из 7 компонентов управления операционными рисками, предусмотренных разделом 6.
6.3.7.6. Риск-менеджеры организуют функционирование реестра рисков. Риск-координаторы обязаны регистрировать и обновлять в реестре рисков всю информацию о рисках своего департамента, курируемых им подразделений и сотрудников. Риск-менеджеры оказывают методическую поддержку в процессе ввода и актуализации информации, а также осуществляют контроль соответствия зарегистрированной в реестре рисков информации установленным требованиям.
6.3.8. Расчет размера операционного риска (VaR OpRisk).
6.3.8.1. Размер операционного риска банка может рассчитываться различными способами:
1. Базовым индикативным подходом (согласно требованиям Базель II и/или нормативных документов Банка России, в том числе, положению Банка России 346-П от 03.11.2009);
2. Стандартизованным подходом (согласно требованиям Базель II и/или нормативных документов Банка России);
3. Усовершенствованным («продвинутым») подходом (АМА) (согласно требованиям внутренних методик банка, разработанных во исполнение Базель II и/или нормативных документов Банка России);
4. Управленческим прогнозным подходом с учетом планов развития бизнеса (согласно внутренним методикам банка).
6.3.8.2. Во всех случаях когда операционный риск, рассчитанный согласно перечисленным выше подходам, предполагается к использованию в расчете показателей / нормативов банка для их представления в Банк России (например, в расчете показателя Н1 – достаточность капитала), применение такого подхода должно осуществляться согласно нормативному документу Банка России или подлежит предварительному согласованию с ним.
6.3.8.3. Размер операционного риска, полученный согласно каждому из способов, может быть различным исходя из особенностей учета (РСБУ, МСФО, внутренней управленческой отчетности).
6.3.8.4. Расчет размера операционного риска в рамках п. 6.3.8.1(а) осуществляется подразделениями банка, ответственными за учет банка по РСБУ, МСФО. Расчет размера операционного риска в рамках пп. 6.3.8.1(b-d) осуществляется подразделением по операционным рискам.
6.3.8.5. Расчет размера операционного риска регламентируется нормативными документами банка.
6.3.8.6. Расчет риска продвинутым способом в обязательном порядке должен основываться на анализе следующих данных (помимо анализа исторических данных об инцидентах):
1. Данных самооценки рисков (согласно п. 6.3.1).
2. Данных мониторинга ключевых индикаторов рисков (согласно п. 6.3.2).
3. Данных сценарного анализа рисков и стресс-тестирования (согласно п. 6.3.5).
4. Данных о внешних потерях от операционных рисков (согласно п. 6.3.6).