Контроль и снижение уровня риска

Принцип 9: Банки должны иметь надежные системы контроля над применением принципов, процессов и систем; надлежащий внутренний контроль; а также надлежащие стратегии снижения и/или передачи риска.

47. Средства внутреннего контроля должны обеспечивать обоснованную уверенность в том, что банк будет осуществлять эффективные операции, защищать свои активы, представлять достоверную финансовую отчетность и соблюдать действующие законодательные и нормативные акты. Рациональная программа внутреннего контроля содержит пять составляющих, неотъемлемых от процесса управления риском: условия для осуществления контроля, оценку риска, мероприятия по контролю, обмен информацией и взаимодействие, а также мониторинг деятельности <*>.

--------------------------------

<*> В документе Комитета "Framework for Internal Control Systems in Banking Organisations" (Основы систем внутреннего контроля в банковских учреждениях), опубликованном в сентябре 1998 года, проблемы внутреннего контроля рассмотрены более подробно.

48. Процессы и процедуры контроля должны включать систему соблюдения политик. Примерами основных элементов оценки соблюдения являются:

(а) анализ достижения поставленных целей исполнительным органом;

(б) проверка соблюдения административного контроля;

(в) анализ мер и решений, принимаемых в случае несоблюдения;

(г) оценка разрешений и согласований, необходимых для обеспечения отчетности перед руководством соответствующего уровня; а также

(д) отчетность о разрешенных исключениях из пределов или лимитов, коррективах со стороны руководства и других отклонениях от утвержденной политики.

49. Кроме того, для создания эффективного контроля необходимо надлежащее распределение обязанностей. Задания (поручения), которые предусматривают конфликт или противоречие обязанностей отдельных сотрудников или команды, без усиленного контроля над их выполнением (или других профилактических мер) могут способствовать сокрытию убытков, ошибок или другим ненадлежащим действиям. В связи с этим области потенциального возникновения конфликта интересов должны выявляться, сводиться к минимуму и подвергаться тщательным и независимым мониторингу и анализу.

50. В дополнение к распределению обязанностей и усиленному контролю банки должны обеспечивать применение других традиционных способов внутреннего контроля для решения проблемы операционного риска. К примерам таких способов относятся:

(а) четко определенные полномочия и/или процедуры одобрения;

(б) тщательный мониторинг соблюдения установленных пределов или лимитов риска;

(в) защита доступа к банковским активам и документации и их использование;

(г) обеспечение наличия необходимого количества сотрудников и постоянное повышение их квалификации;

(д) постоянные процессы выявления направлений деятельности или продуктов, доходность которых отличается от ожидаемой <*>;

--------------------------------

<*> В частности, в том случае, когда сделки на марже, сопряженные с низким риском, имеют высокую доходность, которая может вызвать вопрос о том, не достигнута ли эта доходность за счет нарушения внутреннего контроля.

(е) регулярное проведение проверок и выверка операций и счетов; а также

(ж) политика предоставления отпусков, обеспечивающая отсутствие должностных лиц и сотрудников на рабочих местах не менее двух недель подряд.

51. Эффективное использование и должное применение технологий может способствовать созданию надлежащих условий контроля. В частности, автоматизированные процессы менее подвержены ошибкам, чем процессы, выполняемые вручную. При этом автоматизированные процессы выявляют риски, для которых используются программы технического управления и инфраструктурные программы управления риском.

52. Использование базирующихся на технологии продуктов, видов деятельности и процессов подвергает банк стратегическому, операционному и репутационному рискам и создает возможность возникновения значительных финансовых убытков. Вследствие этого банк должен применять комплексный подход к выявлению, оценке, мониторингу и управлению технологическими рисками <*>. Рациональное управление технологическим риском основано на тех же правилах, что и управление операционным риском, и включает:

--------------------------------

<*> См. также документы Комитета "Risks in Computer and Telecommunication System" (Риски компьютерных систем и систем телекоммуникаций), июль 1989 года, и "Risk Management Principles for Electronic Banking" (Принципы управления риском, возникающим при осуществлении электронных банковских операций), май 2001 года.

(а) руководство и надзор, обеспечивающие согласование технологии, в том числе предоставляемой по контрактам со сторонними подрядчиками, с бизнес-целями банка;

(б) политики и процедуры, упрощающие выявление и оценку риска;

(в) определение ориентированности на риск и допустимого уровня риска, а также плановых показателей, позволяющих контролировать и управлять риском;

(г) создание эффективных условий контроля и применение стратегий передачи рисков, благодаря которым снижается риск; а также

(д) процессы мониторинга, позволяющие проверять соблюдение установленных пределов или лимитов.

53. Исполнительный орган должен обеспечить наличие в банке надежной технологической инфраструктуры <*>, соответствующей краткосрочным и долгосрочным потребностям, путем обеспечения нормального функционирования, а также функционирования в пиковые периоды стресса на рынке; обеспечивающей надежность, безопасность и возможность использования данных и систем; поддерживающей интегрированное и комплексное управление риском. Слияния и поглощения, приводящие к дроблению инфраструктуры, меры по сокращению затрат или недостаточные капиталовложения могут подрывать способность банка собирать и анализировать информацию о параметрах риска или, для консолидированной группы, способность управлять и отчитываться о рисках по направлениям деятельности или организациям, а также осуществлять надзор за рисками и управление ими в периоды быстрого роста. Исполнительный орган должен обеспечивать надлежащие капиталовложения или постоянное наличие надежной инфраструктуры, особенно в периоды осуществления слияний, начала реализации стратегии быстрого роста или введения новых продуктов.

--------------------------------

<*> Под технологической инфраструктурой понимаются физическая и логическая схемы информационных систем и систем связи, отдельные компоненты аппаратного и программного обеспечения, данные и операционная среда.

54. Привлечение внешнего подрядчика <*> означает поручение третьей стороне - аффилированной с группой или неаффилированной сторонней организации - осуществления деятельности в интересах банка. Внешним подрядчикам могут быть поручены как выполнение отдельных операций, так и осуществление бизнес-процессов. Несмотря на то что привлечение внешнего подрядчика позволяет управлять затратами, получать консультационные услуги, расширять объемы предлагаемых продуктов и повышать качество услуг, оно приводит к возникновению рисков, которые должны учитываться исполнительным органом. Совет директоров и исполнительный орган обязаны понимать операционные риски, связанные с привлечением внешних подрядчиков, и обеспечивать наличие эффективных принципов и практик управления риском, возникающим в результате привлечения внешних подрядчиков. Мероприятия по привлечению внешних подрядчиков и управлению таким риском должны включать:

--------------------------------

<*> См. также документ Совместного форума "Outsourcing in Financial Services" (Привлечение внешних подрядчиков при оказании финансовых услуг), опубликованный в феврале 2005 года.

(а) процедуры определения того, какие функции могут передаваться на аутсорсинг и каким образом;

(б) процессы осуществления проверки благонадежности финансового состояния компании при выборе потенциальных контрагентов;

(в) надежные принципы заключения контрактов с внешними подрядчиками, учитывающие структуру их собственности, условий конфиденциальности и предусматривающие права на расторжение контрактов;

(г) программы управления и мониторинга рисков, связанных с заключением таких контрактов, учитывающие финансовое положение источника услуг;

(д) создание условий для осуществления эффективного контроля в банке и в организации, оказывающей услуги;

(е) разработку эффективных планов на случай возникновения непредвиденных обстоятельств;

(ж) выполнение комплексных контрактов и/или договоров об оказании услуг с четким распределением обязанностей между организацией, оказывающей услуги, и банком.

55. В тех случаях, когда система внутреннего контроля не справляется с риском, а избавление от риска не является разумным вариантом, исполнительный орган может в дополнение к контролю организовать передачу риска другой стороне, например по договору страхования. Совет директоров должен определить, какие максимальные убытки банк готов и финансово способен принять, и ежегодно проводить анализ программы управления риском и страхования банка. Хотя конкретные потребности в страховании или передаче риска должны определяться на индивидуальной основе, во многих странах установлены нормативные требования, которые необходимо учитывать <*>.

--------------------------------

<*> См. также документ Комитета "Recognising the risk-mitigating impact of insurance in operational risk modelling" (Учет снижения риска за счет страхования при моделировании операционного риска), октябрь 2010 года.

56. Поскольку передача риска не обеспечивает полной замены надежных программ контроля и управления риском, банки должны рассматривать инструменты передачи риска как дополнение к внутреннему контролю над операционным риском, а не в качестве его замены. Наличие механизмов быстрого выявления, признания и исправления ошибок в управлении операционным риском может существенно снижать риск. Кроме того, необходимо учитывать, в какой степени инструменты снижения риска, такие как страхование, действительно уменьшают риск, передают риск или же создают новый риск (например, риск контрагента).