4. Данных о внешних потерях от операционных рисков (согласно п. 6.3.6).
6.3.9. Эскалация рисков, идентифицированных аналитическим мониторингом.
6.3.9.1. При обнаружении рисков в рамках аналитического мониторинга риск-менеджер или риск-координатор инициирует работу с ними в рамках процедур п. 6.2.
6.4. Компонент № 4. Обеспечение непрерывности деятельности
Обеспечение непрерывности и возобновления деятельности (далее – ОНиВД) осуществляется в соответствии с Приложением 5 к Положению № 242-П для определения целей, задач, порядка, способов и сроков осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования банка и его подразделений, вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств).
6.4.1. Обеспечение непрерывности деятельности регламентируется двумя группами нормативных документов:
• планами непрерывности деятельности критичных процессов (BCP[38]);
• памятками действий сотрудников при чрезвычайных ситуациях;
• дополнительными документами, при недостаточности упомянутых выше, например, DRP[39].
6.4.2. Планы непрерывности деятельности банка.
План ОНиВД представляет собой совокупность модулей, каждый из которых описывает действия подразделений банка по одному критичному процессу, функции или обстоятельству. Бланк плана состоит из следующих основных частей:
Часть I. О непрерывности деятельности исполнителей процесса
• описание критически важной функции исполнителей;
• действия при выбытии исполнителей;
• действия при сбое программных и технических ресурсов;
• действия при выбытии помещений, используемых исполнителями;
• действия при наступлении иных чрезвычайных обстоятельств.
Часть II. О непрерывности деятельности серверного программного обеспечения (ПО), используемого в процессе
• описание ПО, расположенного на серверах, описание серверов и каналов связи, используемых в критически важной функции, SLA (соглашение об уровне обслуживания серверов и информационных систем на серверах);
• действия при сбое ПО, расположенного на серверах, серверов и каналов связи;
• действия при выбытии помещений, в которых расположены серверные программы;
• действия при выбытии исполнителей, обеспечивающих функционирование серверных программ, серверов и каналов связи;
• действия при наступлении иных чрезвычайных обстоятельств, связанных с серверами и приведших к нарушению критически важной функции.
6.4.3. Бланк плана представлен в Приложении 7. Он заполняется риск-координаторами тех департаментов, чьи процессы признаются для банка значимыми (в части I п. 6.4.2) и риск-координатором ИТ-подразделения (в части II п. 6.4.2). Список значимых процессов обозначен в Приложении 8. Принципиальный подход разработки, согласования, утверждения, пересмотра и проверки (тестирования) плана ОНиВД представлен на схеме 5.
6.4.4. Памятки действий сотрудников при чрезвычайных ситуациях готовятся риск-координаторами, ответственными за работу с тем или иным видом чрезвычайной ситуации (ЧС). При необходимости памятки о различных ЧС могут объединяться.
6.4.5. Банк стремится обеспечивать непрерывность своей деятельности с минимальными издержками – резервные рабочие места по возможности должны размещаться на рабочих местах и компьютерах, используемых другими сотрудниками некритичных функций.
6.4.6. Правила и особенности деятельности по обеспечению непрерывности деятельности банка регламентируются нормативными документами банка.
6.5. Компонент № 5. Координация работы департаментов в управлении рисками
6.5.1. Согласно разделу 4 настоящих Рекомендаций для управления операционными рисками в банке существуют три линии защиты[40]:
1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.
Выделяют три вида ответственных:
• риск-координаторы (начальники департаментов и назначенные лица);
• эксперты по инцидентам;
• регистраторы (все сотрудники подразделения).
2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:
• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);
• директор по рискам[41];
• риск-менеджеры[42].
3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.
Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.
6.5.2. Порядок назначения, права и обязанности этих субъектов обозначены в разделе 4 настоящих Рекомендаций. Формат их работы, особенности взаимодействия, обучения и координации обозначены в остальных разделах прежде всего в разделе 6.
6.5.3. Риск-менеджеры контролируют, чтобы структура субъектов управления операционными рисками соответствовала требованиям раздела 4 настоящих Рекомендаций, а формат их работы соответствовал требованиям всех разделов Рекомендаций и детализирующих её нормативных документов банка. Каждое несоответствие обозначается риском с уровнем «высокий», и решается в рамках процедур раздела 6.2.
6.5.4. Риск-менеджеры особое внимание уделяют организации следующих координирующих действий:
6.5.4.1. Актуализация списков ответственных за работу с операционными рисками своих подразделений (риск-координаторов – по правилам п. 4.1.1 и экспертов по инцидентам – по правилам п. 4.1.2), определение их прав в автоматизированной системе управления операционными рисками (если таковая внедрена в банке).
6.5.4.2. Обучение вышеназванных сотрудников, оказание им помощи в написании методик управления операционными рисками департамента, оперативная координация такой работы.
6.5.4.3. Мониторинг эффективности работы с операционными рисками (по правилам п. 6.2.5) и инцидентами (по правилам п. 6.1.9), контроль дисциплины, поддержание мотивации сотрудников к повышению эффективности управления своими операционными рисками.
6.5.4.4. Обеспечение всех подразделений актуальными отчетами об их операционных рисках (по правилам п. 6.6), эскалация вопросов о проблемах операционных рисков (по правилам п. 6.2).
6.5.4.5. Выполнение функций арбитра при разграничении компетенции по работе с рисками или инцидентами между подразделениями. Установление общих правил работы всех департаментов со своими операционными рисками и инцидентами, лимитами прав на решения об операционных рисках.
6.6. Компонент № 6. Построение системы отчетности о рисках и поддержка базы рисков
6.6.1. Отчетность о рисках.
6.6.1.1. Система отчетности банка об операционных рисках – это совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать внутренние структуры банка и внешних контрагентов надлежащей информацией об уровне операционного риска в банке с целью эффективного управления.
6.6.1.2. Банк, в числе прочего составляет следующие виды отчетности об операционных рисках (пример деления приведен на схеме 6):
• сигнальные (для немедленной эскалации мер) – см. Приложение 9.1[43];
• о KPI[44] субъектов, управляющих операционными рисками (для оценки эффективности их деятельности) – см. пп. 6.1.9, 6.2.5, 6.6.3;
• общеаналитические (для оценки ситуации и тенденций по операционным рискам, последующей выработки мер) – см. Приложение 9.2.
6.6.1.3. Риск-менеджеры готовят отчет об уровне операционного риска и представляют его на рассмотрение департаментов и территориальных дирекций, управлений, филиалов[45] (еженедельно), комитета по рискам (ежемесячно), Правления банка (ежеквартально), Совета директоров (ежегодно) и иных уполномоченных субъектов (по требованию). Отчеты должны быть подготовлены: на основании данных/отчетов, получаемых от ответственных подразделений по управлению операционными рисками по направлению деятельности и/или из систем банка, в четкой, сжатой и логичной форме. Отчеты должны содержать описание и оценку рисков, их концентрацию и динамику, прогнозы, предлагаемые меры по их минимизации, сведения об исполнении мер по устранению риска, аллокацию капитала под операционный риск и прочую информацию по операционным рискам. Требования к отчетности по инцидентам изложены также в п. 6.1.7.
6.6.1.4. Процедуры принятия мер минимизации и предотвращения рисков в соответствии с информацией, содержащейся в отчетности, порядок действий, ответственность должностных лиц за принятие мер, контроль исполнения мер определяются в подразделе 6.2.
6.6.1.5. С риск-менеджерами должны предварительно согласовываться все отчеты подразделений, содержащие информацию об операционных рисках (об инцидентах, о рисках, проблемах, обусловливающих операционный риск и о мерах минимизации рисков).
6.6.1.6. Информация об операционном риске должна быть широко представлена во внутренней отчетности об общем уровне риска, принимаемого на себя банком; в управленческой отчетности, в том числе в целях анализа риска и распределения (внутреннего размещения) капитала в соответствии с концепцией экономического капитала).
6.6.1.7. Риск-менеджеры отвечают за разработку и реализацию внутренней системы отчетности по вопросам операционного риска.
Схема 6. Пример группировки отчетов по операционным рискам
6.6.2. Поддержка базы рисков.
6.6.2.1. Для обеспечения удобства исполнения риск-процедур (обработки инцидентов, проверки процессов, контроля исполнения мер минимизации рисков и т. д.), для осуществления онлайн контроля за эффективностью этих процедур, для возможности формирования отчетов и прогнозов о рисках вся работа с рисками должна производиться подразделениями банка в единой базе операционных рисков[46]. Риск-менеджеры обеспечивают функционирование единой базы операционных рисков[47].
6.6.3. Критерии оценки эффективности системы отчетности об операционных рисках.
6.6.3.1. Эффективность деятельности риск-менеджеров по построению системы отчетности о рисках оценивается по следующим показателям:
1. Количественные показатели: – количество департаментов, получающих отчеты об ОР; – количество отчетов об ОР, представляемых в департаменты; – количество исполненных, запросов на доработку отчетов об ОР;
2. Качественные показатели: – степень удовлетворенности департаментов отчетами об ОР; – бесперебойная работа базы инцидентов и рисков; – выполнение запросов на отчеты; – использование методики расчета операционного риска продвинутым способом.
6.7. Компонент № 7. Контроль соблюдения стандартов минимизации рисков
Для целей недопущения основной массы операционных рисков на первичном (зачаточном) уровне их возможного возникновения банк определяет 5 видов базовых стандартов, обязательность соблюдения которых способствует предотвращению операционных рисков:
1. Стандарты целевой структуры показателей банка.
2. Стандарты целевой продуктово-процессной структуры.
3. Стандарты целевой организационной структуры.
4. Стандарты целевой ИТ-архитектуры и технологий.
5. Стандарты целевой структуры нормативных документов (норм. документов).
6.7.1. Стандарты целевой структуры показателей банка
Банк отмечает особую важность назначения целей, которые он должен достигнуть (целевых показателей руководства банка и сотрудников банка).
Отсутствие зафиксированных целей, их формальность или неактуальность (бесцельность), отсутствие системы коррекции целей и контроля их достижения, отсутствие системы мотивации и культуры к достижению целей банк определяет как системообразующий высокий операционный риск, который влечет неэффективность управления всеми процессами банка и неэффективность их исполнения (в соответствии с требованиями п. 3.1).
Банк выделяет следующие виды целевых показателей[48]:
• показатели для банка в целом (по которым Правление должно отчитываться перед Советом директоров);
• показатели для департаментов (по которым департаменты должны отчитываться перед Правлением);
• показатели для сотрудников (по которым сотрудники отчитываются перед руководством департаментов).
6.7.1.1. Показатели для банка в целом (по которым Правление должно отчитываться перед Советом директоров).
В качестве таких показателей могут выступать критерии о риск-аппетите (границах, которые не должен пересекать банк), а также целевые показатели, например, следующие:
• целевой кредитный рейтинг рейтинговых агентств (например, банк будет стремится к поддержанию рейтинга не ниже X);
• достаточность общего капитала (например, целевой уровень достаточности общего капитала: >=X);
• норматив Н1 ЦБ РФ (например, целевой уровень достаточности по нормативу Н1: X %);
• соотношение доступных финансовых ресурсов к эк. капиталу (например, целевой уровень > X %);
• концентрации по отраслям / продуктам / сегментам.
Примерный перечень таких показателей приведен в Приложении 10.
6.7.1.2. Показатели для Департаментов (по которым Департаменты должны отчитываться перед Правлением).
Для Бизнес-департаментов в качестве таких показателей могут выступать, например, следующие:
• чистая прибыль;
• рост клиентского привлечения;
• рост кредитного портфеля;
• доля комиссионных доходов в общем доходе;
• прибыльность / эффективность;
• проблемная задолженность / кредитный портфель;
• количество активных клиентов.
Для каждого департамента, в т. ч. для департаментов поддержки, показатели назначаются индивидуально.
6.7.1.3. Показатели для отделов и сотрудников (по которым сотрудники должны отчитываться перед руководством департаментов).
Для сотрудников показатели устанавливаются руководством департаментов.
6.7.1.4. Особые условия построения структуры показателей банка.
6.7.1.4.1. Банк обозначает размер убытков и количество значимых инцидентов в качестве понижающего коэффициента оценки всех руководителей банка.
Целевые показатели членов правления и руководителей подразделений должны иметь понижающие коэффициенты уровня операционных рисков в курируемых ими процессах[49].
6.7.1.4.2. Банк обозначает размер предотвращенных убытков и рисков от несовершенства банковских процессов повышающим коэффициентом оценки всех руководителей банка.
Целевые показатели членов правления и руководителей подразделений должны иметь повышающие коэффициенты уровня предотвращенных убытков и устраненных ими банковских операционных рисков (в т. ч. в процессах не находящихся в сфере курирования конкретного руководителя)[50]. Высокий уровень предотвращенных подразделениями убытков и рисков должен вознаграждаться соответствующим образом, и такие факты должны широко рекламироваться в банке.
6.7.1.4.3. Банк обеспечивает прозрачность и контролируемость показателей.
Для контроля за ситуацией с показателями каждый отдел банка[51] формирует ежемесячный отчет на одном-двух слайдах со следующим содержанием:
• производительность отдела (количество осуществленных операций) – помесячный график за прошедшие полгода от текущей даты (план / факт);
• качество результатов (доля операций с хорошим результатом, без результата, с плохим результатом) – помесячный график за прошедшие полгода от текущей даты (план / факт);
• общая оценка работы (хорошо / плохо в виде интуитивно понятной пиктограммы);
• список всех показателей отдела (значения плана, факта, процента достижения плана оценки (плохо / хорошо в виде интуитивно понятных пиктограмм));
• причины, повлиявшие на текущее значение показателей;
• предпринимаемые меры по улучшению показателей;
• эффективность предшествующих мер;
• Ф.И.О. руководителя подразделения и количество сотрудников, выполнявших операции.
Все отчеты должны соответствовать единому формату, приведенному в Приложении 11 (в том числе форме графиков, формату легенд графиков (начинающихся со слов «Хороший результат:…», «Без результата», «Плохой результат:…»), цветовой гамме и т. д.). Плановые значения определяются с учетом бенчмаркинга[52] (о чем должны быть соответствующие пояснения).
Указанные отчеты не реже одного раза в месяц должны заслушиваться руководителями департаментов и широко использоваться в отчетности банка. Для обеспечения объективного контроля за актуальностью показателей, учета рисков, повлиявших на текущие значения показателей, и контроля за мерами по их минимизации такие отчеты должны ежемесячно проверяться риск-координаторами (по курируемым ими подразделениям) и направляться риск-менеджерам.
Если указываемые начальниками отделов названия показателей, их нормативные значения (план), отчетные данные об их достижении (факт), формы графиков или таблиц, причины, повлиявшие на изменение значения показателей, меры по улучшению показателей носят формальный, нерепрезентативный характер или не отвечают условиям наилучших практик, риск-координатор или риск-менеджер выносит вопрос на комитет по рискам об обнаружении несоответствий с предложением оптимального альтернативного варианта. Комитет по рискам утверждает или отклоняет изменения.