3. Управление операционным риском
3.1. Управление операционным риском состоит из выявления, оценки, мониторинга, контроля и (или) минимизации операционного риска.
3.2. Выявление операционного риска предполагает анализ всех условий функционирования кредитной организации на предмет наличия или возможности возникновения факторов операционного риска (пункт 1.2 настоящих Рекомендаций), который рекомендуется проводить на нескольких уровнях:
анализ изменений в финансовой сфере в целом (например, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности кредитной организации;
анализ подверженности операционному риску направлений деятельности <*> с учетом приоритетов кредитной организации (составление так называемого "риск-профиля" банка);
--------------------------------
<*> Под направлением деятельности кредитной организации в целях настоящих Рекомендаций понимается относительно автономный компонент деятельности, выделяемый по признаку: категории клиентов, либо однородности банковских операций и других сделок, либо общности технологических процессов.
анализ отдельных банковских операций и других сделок;
анализ внутренних процедур (пункт 2.2 настоящих Рекомендаций), включая систему отчетности и обмена информацией.
3.3. На этапе выявления операционного риска особое внимание необходимо обращать на случаи пересечения полномочий и ответственности подразделений, служащих кредитной организации.
3.4. Все нововведения, производимые кредитной организацией, - изменения структуры или процедур, внедрение новых услуг и технологий (в том числе с использованием аутсорсинга - привлечения специализированной сторонней организации (поставщика услуг) для выполнения отдельных видов работ), освоение новых направлений деятельности - рекомендуется на этапе разработки подвергать тщательному анализу с целью выявления факторов операционного риска.
3.5. В целях обеспечения условий для эффективного выявления операционного риска, а также его оценки рекомендуется создать и вести аналитическую базу данных о понесенных операционных убытках, в которой отражать сведения об их видах и размерах в разрезе направлений деятельности, отдельных банковских операций и других сделок, обстоятельств их возникновения и выявления.
Для обеспечения унификации подходов и сопоставимости данных может быть использована классификация случаев операционных убытков (пункт 1.3 настоящих Рекомендаций), а также классификация направлений деятельности кредитной организации, которая приведена в приложении к настоящим Рекомендациям.
Порядок ведения аналитической базы данных о понесенных операционных убытках, форму представления и требования к содержанию вводимой информации рекомендуется установить во внутренних документах кредитной организации.
3.6. Кредитным организациям рекомендуется наряду с ведением аналитической базы данных о понесенных операционных убытках на постоянной основе с использованием различных источников собирать и анализировать информацию о случаях операционных убытков в других кредитных и финансовых организациях.
3.7. Оценка операционного риска предполагает оценку вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и оценку размера потенциальных убытков.
3.8. Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы:
статистический анализ распределения фактических убытков;
балльно-весовой метод (метод оценочных карт);
моделирование (сценарный анализ).
3.8.1. Методы, основанные на применении статистического анализа распределения фактических убытков, позволяют сделать прогноз потенциальных операционных убытков исходя из размеров операционных убытков, имевших место в данной кредитной организации в прошлом. При применении этих методов в качестве исходных данных рекомендуется использовать информацию, накопленную в аналитической базе данных о понесенных операционных убытках.
3.8.2. Сущность балльно-весового метода заключается в оценке операционного риска в сопоставлении с мерами по его минимизации.
На основе экспертного анализа выбираются информативные для целей управления операционным риском показатели и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются в разрезе направлений деятельности кредитной организации, отдельных видов банковских операций и других сделок.
Применение балльно-весового метода (метода оценочных карт) наряду с оценкой операционного риска позволяет выявить слабые и сильные стороны в управлении операционным риском.
3.8.3. В рамках метода моделирования (сценарного анализа) на основе экспертного анализа для направлений деятельности кредитной организации, отдельных видов банковских операций и других сделок определяются возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам, и разрабатывается модель распределения частоты возникновения и размеров убытков, которая затем используется для оценки операционного риска.
3.9. Кредитным организациям рекомендуется регулярно производить оценку операционного риска в целом по кредитной организации и его распределения в разрезе направлений деятельности кредитной организации, внутренних процессов, информационно-технологических систем и банковских продуктов, составляющих эти направления деятельности.
Периодичность проведения оценки операционного риска рекомендуется определять во внутренних документах кредитной организации.
3.10. В целях предупреждения возможности повышения уровня операционного риска рекомендуется проводить мониторинг операционного риска.
3.11. Мониторинг операционного риска рекомендуется осуществлять путем регулярного изучения системы показателей (в том числе статистических, финансовых) деятельности кредитной организации.
Кредитной организации рекомендуется определять периодичность осуществления мониторинга операционного риска на основе его существенности для соответствующего направления деятельности, внутреннего процесса или информационно-технологической системы.
3.12. В целях мониторинга операционного риска рекомендуется создание системы индикаторов уровня операционного риска -показателей или параметров, которые теоретически или эмпирически связаны с уровнем операционного риска, принимаемого кредитной организацией.
В качестве индикаторов уровня операционного риска могут быть использованы сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты и (или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени (продолжительности) простоя информационно-технологических систем и других показателях.
Для каждого индикатора рекомендуется установить лимиты (пороговые значения), что позволит обеспечить выявление значимых для кредитной организации операционных рисков и своевременное адекватное воздействие на них.
Кроме того, рекомендуется установить периодичность пересмотра системы индикаторов уровня операционного риска.
3.13. Мониторинг операционного риска может проводиться как на уровне подразделений, так и в целом по кредитной организации. Полученную в процессе мониторинга операционного риска информацию о потенциальном изменении уровня риска рекомендуется своевременно доводить до соответствующих органов управления, подразделений, служащих для принятия необходимых мер.
3.14. Минимизация операционного риска предполагает осуществление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и (или) на уменьшение (ограничение) размера потенциальных операционных убытков. Методы минимизации операционного риска рекомендуется применять с учетом характера и масштабов деятельности кредитной организации.
3.15. Основным методом минимизации операционного риска, контролируемого на уровне кредитной организации, является разработка организационной структуры, внутренних правил и процедур совершения банковских операций и других сделок таким образом, чтобы исключить (минимизировать) возможность возникновения факторов операционного риска. При этом особое внимание рекомендуется обращать на соблюдение принципов разделения полномочий, порядка утверждения (согласования) и подотчетности по проводимым банковским операциям и другим сделкам.
3.16. Контроль за соблюдением установленных правил и процедур осуществляется в рамках системы внутреннего контроля.
В отношении контроля за операционным риском наиболее важным является:
контроль за соблюдением установленных лимитов по проводимым банковским операциям и другим сделкам;
соблюдение установленного порядка доступа к информации и материальным активам банка;
надлежащая подготовка персонала;
регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам.
3.17. Снижению операционного риска может способствовать развитие систем автоматизации банковских технологий и защиты информации. При этом кредитной организации рекомендуется принимать во внимание возможную трансформацию операционного риска: при ручной (неавтоматизированной) обработке существует высокая вероятность наступления события, приводящего к убыткам (например, ошибка при вводе данных), а величина потенциальных убытков - небольшая или умеренная, в то время как с повышением уровня автоматизации вероятность наступления события, приводящего к убыткам, снижается, но величина потенциальных убытков может быть весьма значительной (например, ошибка в программном обеспечении или системный сбой).
3.18. Снижение уровня отдельных видов операционного риска может быть осуществлено путем передачи риска или его части третьим лицам.
Решение об использовании механизмов передачи риска (например, аутсорсинга) рекомендуется принимать по результатам тщательного анализа с учетом ожидаемого эффекта, стоимости и возможности трансформации одного вида риска в другой. Кредитной организации рекомендуется наряду с контролем за уровнем остаточного риска сохранять возможность контроля за размером передаваемого операционного риска.
При применении аутсорсинга рекомендуется обратить внимание на то, что в этом случае кредитная организация несет ответственность не только за конечный результат деятельности, но и за способ его достижения, поэтому целесообразно установить контроль за уровнем надежности, качества и соблюдением законодательства Российской Федерации при оказании услуг.
Аутсорсинг рекомендуется осуществлять на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между кредитной организацией и поставщиком услуг. Кредитной организации рекомендуется предусмотреть во внутренних документах порядок регулирования рисков, связанных с аутсорсингом, в том числе риска отказа в обслуживании.
3.19. Уменьшение финансовых последствий операционного риска (вплоть до полного покрытия потенциальных операционных убытков) возможно с помощью страхования. С использованием традиционных видов имущественного и личного страхования кредитными организациями могут быть застрахованы:
здания и иное имущество (в том числе валютные ценности и внутренние ценные бумаги) - от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;
сотрудники банка - от несчастных случаев и причинения вреда здоровью;
носители информации и сама информация - на случай утраты.
Страхование может быть использовано и в отношении специфических банковских рисков как на комплексной основе (полис комплексного банковского страхования), так и применительно к отдельным видам рисков (например, страхование рисков, связанных с эмиссией и обращением платежных карт, страхование профессиональной ответственности служащих кредитной организации, страхование ущерба от преступлений в сфере компьютерной информации).
Кредитным организациям рекомендуется оценивать целесообразность использования страхования на комплексной основе с учетом как стоимости страхования, так и вероятности наступления и влияния страхового события на финансовое положение кредитной организации. Оценки страховщиков, произведенные в ходе заключения договора о страховании, могут быть использованы в целях оптимизации управления операционным риском.
При заключении договоров страхования кредитным организациям рекомендуется обращать особое внимание на процедуры и сроки выплат страхового возмещения.
3.20. В целях ограничения операционного риска рекомендуется предусмотреть комплексную систему мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности).
При разработке планов по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности рекомендуется оценивать возможный ущерб от непредвиденных событий (обстоятельств) относительно предполагаемых затрат на подготовку и реализацию соответствующих планов с учетом всех возможных (предполагаемых) сценариев развития событий, создающих угрозу убытков, особенно для рисков, характеризующихся низкой вероятностью, но большими размерами потенциальных убытков, источники которых находятся вне контроля кредитной организации.
3.21. Под планом по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности в целях настоящих Рекомендаций понимается документ, который содержит следующие элементы:
определение защищаемого внутреннего процесса;
степень обеспечиваемой защиты (поддержание в течение определенного времени нормальной работы, поддержание в течение определенного времени работы на минимально приемлемом уровне, продолжение работы в режиме постепенной деградации, наиболее быстрое и (или) безопасное прекращение работы или нарушенного процесса, обеспечение последующего восстановления нормального режима работы прерванного процесса);
процедуры перехода в аварийный режим и порядок работы в этом режиме;
необходимые ресурсы (например, помещения, обеспечение квалифицированным персоналом, оборудованием и вычислительной техникой, программным обеспечением, средствами связи);
перераспределение функций, полномочий и обязанностей подразделений и служащих;
порядок восстановления работоспособности нарушенных внутренних процессов и систем и возврата к режиму нормальной работы;
дополнительные процедуры нормального режима работы, направленные на создание условий перехода в аварийный режим и возможности работы в нем (например, резервное копирование информации, ведение архива автоматизированной системы на бумажных носителях).
3.22. Кредитным организациям рекомендуется уделять особое внимание обеспечению сохранности и возможности восстановления информационных систем и ресурсов. Помещение для установки резервного оборудования или оборудования, на которое должно производиться резервное копирование информации, рекомендуется выбирать так, чтобы минимизировать риск одновременной утраты первичной и резервной копии данных или одновременного выхода из строя основного и резервного оборудования.
3.23. Разработку планов по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности рекомендуется осуществлять в комплексе с другими мерами, направленными на минимизацию соответствующих операционных рисков.
Соответствие планов по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности характеру и масштабам деятельности кредитной организации рекомендуется регулярно проверять путем проведения испытаний (тестов). При необходимости или с учетом тестирования планы могут пересматриваться и корректироваться.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875