Управление операционными рисками в современных банках: содержание риска, классификация, способы управления риском, предложения по оценке

3.18. Снижение  уровня отдельных видов операционного  риска может быть осуществлено  путем передачи риска или его  части третьим лицам. 

Решение об использовании механизмов передачи риска (например, аутсорсинга) рекомендуется принимать по результатам тщательного анализа с учетом ожидаемого эффекта, стоимости и возможности трансформации одного вида риска в другой. Кредитной организации рекомендуется наряду с контролем за уровнем остаточного риска сохранять возможность контроля за размером передаваемого операционного риска. 

При применении аутсорсинга рекомендуется обратить внимание на то, что в этом случае кредитная организация несет ответственность не только за конечный результат деятельности, но и за способ его достижения, поэтому целесообразно установить контроль за уровнем надежности, качества и соблюдением законодательства Российской Федерации при оказании услуг. 

Аутсорсинг рекомендуется осуществлять на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между кредитной организацией и поставщиком услуг. Кредитной организации рекомендуется предусмотреть во внутренних документах порядок регулирования рисков, связанных с аутсорсингом, в том числе риска отказа в обслуживании. 

3.19. Уменьшение  финансовых последствий операционного  риска (вплоть до полного покрытия  потенциальных операционных убытков)  возможно с помощью страхования.  С использованием традиционных видов имущественного и личного страхования кредитными организациями могут быть застрахованы: 

здания  и иное имущество (в том числе  валютные ценности и внутренние ценные бумаги) — от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а  также в результате действий третьих  лиц; 

сотрудники  банка — от несчастных случаев  и причинения вреда здоровью; 

носители  информации и сама информация —  на случай утраты. 

Страхование может быть использовано и в отношении  специфических банковских рисков как  на комплексной основе (полис комплексного банковского страхования), так и  применительно к отдельным видам  рисков (например, страхование рисков, связанных с эмиссией и обращением платежных карт, страхование профессиональной ответственности служащих кредитной  организации, страхование ущерба от преступлений в сфере компьютерной информации). 

Кредитным организациям рекомендуется оценивать  целесообразность использования страхования  на комплексной основе с учетом как стоимости страхования, так и вероятности наступления и влияния страхового события на финансовое положение кредитной организации. Оценки страховщиков, произведенные в ходе заключения договора о страховании, могут быть использованы в целях оптимизации управления операционным риском. 

При заключении договоров страхования кредитным  организациям рекомендуется обращать особое внимание на процедуры и сроки  выплат страхового возмещения. 

3.20. В  целях ограничения операционного  риска рекомендуется предусмотреть  комплексную систему мер по  обеспечению непрерывности финансово-хозяйственной  деятельности при совершении  банковских операций и других  сделок, включая планы действий  на случай непредвиденных обстоятельств  (планы по обеспечению непрерывности  и(или) восстановления финансово-хозяйственной деятельности). 

При разработке планов по обеспечению непрерывности  и(или) восстановления финансово-хозяйственной деятельности рекомендуется оценивать возможный ущерб от непредвиденных событий (обстоятельств) относительно предполагаемых затрат на подготовку и реализацию соответствующих планов с учетом всех возможных (предполагаемых) сценариев развития событий, создающих угрозу убытков, особенно для рисков, характеризующихся низкой вероятностью, но большими размерами потенциальных убытков, источники которых находятся вне контроля кредитной организации. 

3.21. Под  планом по обеспечению непрерывности  и(или) восстановления финансово-хозяйственной деятельности в целях настоящих Рекомендаций понимается документ, который содержит следующие элементы: 

определение защищаемого внутреннего процесса; 

степень обеспечиваемой защиты (поддержание  в течение определенного времени  нормальной работы, поддержание в  течение определенного времени  работы на минимально приемлемом уровне, продолжение работы в режиме постепенной  деградации, наиболее быстрое и(или) безопасное прекращение работы или нарушенного процесса, обеспечение последующего восстановления нормального режима работы прерванного процесса); 

процедуры перехода в аварийный режим и  порядок работы в этом режиме; 

необходимые ресурсы (например, помещения, обеспечение  квалифицированным персоналом, оборудованием  и вычислительной техникой, программным  обеспечением, средствами связи); 

перераспределение функций, полномочий и обязанностей подразделений и служащих; 

порядок восстановления работоспособности  нарушенных внутренних процессов и  систем и возврата к режиму нормальной работы; 

дополнительные  процедуры нормального режима работы, направленные на создание условий перехода в аварийный режим и возможности  работы в нем (например, резервное  копирование информации, ведение  архива автоматизированной системы  на бумажных носителях). 

3.22. Кредитным  организациям рекомендуется уделять  особое внимание обеспечению  сохранности и возможности восстановления  информационных систем и ресурсов. Помещение для установки резервного  оборудования или оборудования, на которое должно производиться  резервное копирование информации, рекомендуется выбирать так, чтобы  минимизировать риск одновременной  утраты первичной и резервной  копий данных или одновременного  выхода из строя основного  и резервного оборудования. 

3.23. Разработку  планов по обеспечению непрерывности  и(или) восстановления финансово-хозяйственной деятельности рекомендуется осуществлять в комплексе с другими мерами, направленными на минимизацию соответствующих операционных рисков. 

Соответствие  планов по обеспечению непрерывности  и(или) восстановления финансово-хозяйственной деятельности характеру и масштабам деятельности кредитной организации рекомендуется регулярно проверять путем проведения испытаний (тестов). При необходимости или с учетом тестирования планы могут пересматриваться и корректироваться. 

4. Контроль за эффективностью управления операционным риском 

4.1. Кредитным  организациям рекомендуется определить  порядок осуществления контроля за эффективностью управления операционным риском. 

4.2. Во  внутренних документах рекомендуется  установить: 

порядок рассмотрения и расследования фактов операционных убытков и причин их возникновения, а также порядок  применения административных мер к  членам совета директоров (наблюдательного  совета), исполнительных органов и  служащим, виновным в их возникновении; 

периодичность оценки органами управления кредитной  организации (в соответствии с их полномочиями, установленными уставом  и внутренними документами кредитной  организации) результатов указанных  расследований, а также оценки достигнутого уровня управления операционным риском в кредитной организации; 

систему оценки эффективности управления операционным риском. 

4.3. В  случае возникновения операционных  убытков кредитным организациям  рекомендуется производить сопоставление  прогнозных оценок с размерами  понесенных операционных убытков,  имевших место за соответствующий  период, анализировать причины полученных  расхождений и вносить необходимые  изменения в применяемые методики  и математические модели. 

4.4. Кредитным  организациям рекомендуется на  регулярной основе пересматривать  существующие внутренние процессы  и процедуры, используемые информационно-технологические  системы с целью выявления  не учтенных ранее источников  операционного риска. 

Периодичность пересмотра рекомендуется определить во внутренних документах кредитной  организации. 

4.5. В  целях контроля за эффективностью управления операционным риском целесообразно по мере необходимости пересматривать основные принципы управления операционным риском на основе анализа: 

достигнутого  уровня управления операционным риском в кредитной организации; 

международного  опыта и опыта российских кредитных  организаций в области управления операционным риском; 

изменений, происходящих на финансовых рынках; 

других  внешних и внутренних факторов, которые  могут оказать влияние на показатели деятельности кредитной организации. 

5. Раскрытие  информации по управлению операционным  риском 

Кредитной организации рекомендуется доводить до участников (акционеров), кредиторов, вкладчиков и иных клиентов, внешних  аудиторов, рейтинговых агентств и  других заинтересованных лиц (в том  числе в составе годового отчета) информацию по управлению операционным риском, обеспечив при этом соответствие степени детализации раскрываемой информации характеру и масштабам  деятельности кредитной организации. 

1 Под направлением деятельности кредитной организации в целях настоящих Рекомендаций понимается относительно автономный компонент деятельности, выделяемый по признаку: категории клиентов, либо однородности банковских операций и других сделок, либо общности технологических процессов.