Читать книгу Основные принципы комплаенс-контроля - - Страница 13

Операционный риск – риск прямых или косвенных потерь в результате неадекватных и ошибочных внутренних процессов, а также воздействия внешних событий либо факторов.

Целью управления операционным риском является обеспечение эффективного функционирования организации в условиях подверженности факторам такого риска.

Управление операционным риском осуществляется также в целях:

● повышения безопасности, надёжности и конкурентоспособности организации;

● совершенствования систем, процессов и технологий;

● соблюдения персоналом нормативных правовых актов и внутренних правил и регламентов.

Цели управления операционным риском достигаются путём использования системного, комплексного подхода, который подразумевает решение следующих задач:

● получение оперативных и объективных сведений о состоянии и размере операционного риска;

● качественная и количественная оценка (измерение) операционного риска;

● установление взаимосвязей между отдельными видами рисков с целью оценки воздействия мероприятий, планируемых для ограничения одного вида риска, на рост или уменьшение уровня других рисков;

● создание системы управления операционным риском для управления риском на стадии возникновения негативной тенденции, а также системы быстрого и адекватного реагирования, направленной на предотвращение достижения операционным риском критически значительных размеров.

Цели и задачи по управлению операционным риском реализуются на основе следующих принципов:

● принцип адекватности – адекватность системы управления операционным риском характеру и размерам деятельности организации;

● принцип непрерывности – непрерывное функционирование системы управления операционным риском, которое проводится на постоянной основе во всех структурных подразделениях организации;

● принцип централизованности – управление операционным риском осуществляется централизованно на единой нормативно-методической основе;

● процессный принцип – все процедуры управления и контроля рисков распределены на отдельные функции и операции, выполняемые разными структурными подразделениями на единой нормативно-методической основе, исключающей дублирование функций и конфликты интересов;

● измерение операционного риска проводится по принципу «от простого к сложному» по мере разработки более «продвинутых» систем и совершенствования системы управления операционными рисками;

● формирование у персонала культуры управления операционным риском, а также знаний об операционном риске, который может возникать в связи с выполнением им должностных обязанностей, а также мотивации сотрудников на выявление факторов (причин) операционного риска;

● регулярная оценка уровня операционного риска, присущего как существующим на момент оценки, так и разрабатываемым продуктам, видам деятельности, автоматизированным системам и процессам организации;

● минимизация и/или предотвращение операционных рисков на основе эффективной системы внутреннего контроля;

● применение мер по ограничению операционного риска, стоимость которых не превышает ожидаемую выгоду, получаемую от потенциального снижения операционных издержек;

● ведение постоянного мониторинга операционных рисков и операционных потерь, предоставление соответствующей информации в виде отчётов руководству организации;

● информирование на регулярной основе органов управления организации об уровне операционного риска.

В целях построения эффективной системы управления операционными рисками организация определяет следующие направления внедрения системы управления операционными рисками:

● идентификация (выявление) операционных рисков по направлениям деятельности (бизнес-направлениям) организации, учёт и классификация инцидентов операционных рисков, сбор данных о размере потерь и вероятности наступления рисковых событий;

● оценка, мониторинг и предметный анализ операционных рисков, решение задач по минимизации (устранению) операционных рисков;

● регулирование (принятие, ограничение или нейтрализация) операционного риска;

● выбор механизмов контроля за операционными рисками, внедрение системы контроля и отчётности по операционному риску, совершенствование методов измерения операционного риска, а также контроль системы управления операционным риском.

Идентификация операционных рисков

Внутренними и внешними факторами (причинами) операционного риска являются:

● недостаточный уровень автоматизации процессов, отсутствие доступа к коммерческим базам данных, сбои/отказы автоматизированных либо информационных систем, а также перебои в работе и порча оборудования;

● несовершенство организационной структуры организации в части распределения полномочий структурных подразделений и отдельных сотрудников, порядков и процедур заключения сделок либо осуществления операций, их документирования и отражения в учёте;

● несоблюдение сотрудниками установленных порядков и процедур, неэффективность внутреннего контроля (т. н. организационный риск);

● недостаточная компетенция персонала, недостаток кадров и неустойчивость штата организации, зависимость от отдельных специалистов, несанкционированные действия персонала, а также мошеннические действия (риск персонала);

● неблагоприятные внешние обстоятельства, находящиеся вне периметра организации, случайные или преднамеренные действия физических и/или юридических лиц, направленные против её интересов.

Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования организации на предмет наличия или возможности возникновения факторов операционного риска, который осуществляется на нескольких уровнях:

● анализ изменений в финансовой сфере организации в целом (освоение новых направлений деятельности, продвижение на рынке новых банковских услуг, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности;

● анализ подверженности операционному риску направлений деятельности (бизнес-процессов) с учётом приоритетов организации;

● анализ отдельных операций и сделок организации;

● анализ внутренних процедур, включая систему отчётности и обмена информацией.

Процесс идентификации состоит из следующих процедур:

● классификация (кодификация) типов возможных неблагоприятных[63] событий в разрезе источников[64] (причин) рисков;

● сбор данных о внутренних и внешних событиях, их распределение по классификационным видам (категориям), определение типов и количества полученных и потенциальных потерь.

События реализации операционного риска происходят как при возникновении отдельных факторов, так и в результате сочетания нескольких факторов операционного риска, и организация определяет принадлежность каждого инцидента потерь (события реализации операционного риска) к тому или иному типу операционных рисков по следующим основным категориям:

● внутреннее мошенничество[65]:

• коррупционные действия сотрудников (злоупотребление служебным положением вопреки законным интересам организации в целях получения личной выгоды либо выгоды третьим лицам);

• принудительные действия (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• сговор сотрудников организации с третьими лицами (передача сотрудниками организации информации о своих клиентах/контрагентах конкурентам, занижение ставок при продаже ресурсов и т. д.);

• сговор между сотрудниками с целью получения личной выгоды либо выгоды третьим лицам;

• умышленное уничтожение материальных активов и информации, преднамеренное сокрытие или искажение фактов совершения сделок и заключения договоров;

• преднамеренное превышение установленных лимитов с целью получения личной выгоды либо выгоды третьим лицам;

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• мошеннические операции при расчётно-кассовом обслуживании (присвоение или растрата денежных средств, использование поддельных купюр, обман при совершении расчётов с клиентами и т. п.);

• мошеннические операции со счетами клиентов (неправомерное списание средств со счетов, использование счетов клиентов для перевода денежных средств, отнесение собственных расходов на счета клиентов, манипулирование со счётом клиента и т. д.);

• мошенничество с валютными операциями (злоупотребления при проведении конверсионных операций, учёте валютных средств организации и т. п.);

• мошеннические операции с кредитами (выдача фиктивных кредитов, подделка документов при предоставлении кредитов; выдача кредитов под несуществующие залоги и т. п.);

• мошенничество с ценными бумагами (противоправные манипуляции с ценными бумагами);

• мошенничество при совершении бухгалтерских операций (противоправные манипуляции с бухгалтерскими счетами, необоснованное завышение и занижение сумм проводок, использование средств временно не используемых счетов и т. д.);

• мошенничество в сфере хозяйственных операций (присвоение доходов от заключённых договоров с поставщиками, подрядчиками, присвоение доходов от арендной платы и т. п.);

• мошенничество в сфере информационных систем и технологий;

● внешнее мошенничество[66]:

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• грабёж (открытое хищение имущества без применения насилия или с применением насилия, не опасного для жизни и здоровья, либо с угрозой применения такого насилия);

• разбой (нападение в целях хищения имущества с применением опасного для жизни или здоровья насилия либо с угрозой применения такого насилия);

• принудительные действия к сотруднику со стороны третьих лиц (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• подделка, подлог (документов, удостоверяющих личность, печатей, доверенностей, платёжных документов, денежных купюр и т. п.);

• предоставление заведомо ложных сведений о юридическом статусе, финансовом положении и т. п.;

• взлом системы безопасности или доступа в автоматизированную систему организации, генерация фальшивых электронных проводок или операций в платёжной банковской системе;

• взлом системы безопасности работы системы дистанционного обслуживания, криптографической защиты клиентских платежей в расчётных системах, генерация фальшивых электронных поручений от имени клиентов по управлению клиентскими счетами;

• несанкционированный дистанционный доступ третьих лиц к информационным активам организации с целью кражи информации, модификации и/или её уничтожения;

• внедрение в систему компьютерных вирусов и вредоносных программ, в том числе посредством использования электронной почты;

• несанкционированный физический доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов;

● кадровая политика и безопасность труда[67]:

• нарушение договорных отношений в вопросах оплаты труда, выходных пособий, вознаграждения, компенсации сотрудникам, ошибки при найме и увольнении;

• нарушение норм охраны здоровья и безопасности труда;

• все типы дискриминации (по расовому, национальному, религиозному, половому и иным признакам);

● ошибки в клиентской практике, условиях продажи продуктов, во взаимоотношениях с клиентами[68]:

• недостатки в раскрытии информации о клиенте и контрагенте (принцип «Знай своего клиента»);

• недостатки клиентской политики (неприемлемость сотрудничества с отдельными клиентами/контрагентами);

• нарушения, связанные с раскрытием конфиденциальной информации клиента/контрагента, злоупотребление конфиденциальной информацией;

• нарушение со стороны организации фидуциарных отношений[69];

• нарушение организацией обязательств кредитора;

• нарушение организацией обязательств по расчётно-кассовому обслуживанию;

• неправильная деловая или рыночная практика;

• нарушение законодательства по противодействию отмыванию доходов, полученных преступным путём, финансирования терроризма;

• осуществление нелицензированной деятельности (предоставление услуг, подлежащих лицензированию, при отсутствии необходимой лицензии либо специального разрешения);

• практика проведения банковских операций, не соответствующая общепринятой деловой или рыночной практике;

• изъяны в продуктах расчётно-кассового обслуживания (претензии клиентов в части скорости обработки информации, документооборота, «ручной» обработки данных, тарифы, комиссии и т. п.);

• изъяны в продуктах дистанционного банковского обслуживания;

• изъяны в банковских продуктах с предоставлением посреднических услуг (в том числе конверсионные операции);

• изъяны в банковских продуктах по кредитованию;

• изъяны в иных банковских продуктах (за исключением расчётно-кассового обслуживания, дистанционного банковского обслуживания, посреднических операций);

• невыполнение требований по изучению клиентов;

• превышение лимитов риска на одного клиента/контрагента;

• разногласия в оценках результатов консалтинговых услуг;

● причинение ущерба физическим активам[70]:

• причинение ущерба физическим активам в результате катастроф (природных и техногенных), терроризма, вандализма и иных форс-мажорных обстоятельств;

• причинение ущерба физическим активам в результате обстоятельств, не являющихся форс-мажорными;

● нарушения в системах ведения бизнес-процессов и сбои информационно-технологических систем[71]:

• сбои программного обеспечения, информационных систем и технологий;

• сбои оборудования и выход из строя аппаратного обеспечения;

• сбои в работе телекоммуникаций;

• сбои в энергоснабжении, водоснабжении, в работе отопительных систем, систем кондиционирования и иных технических систем;

● ошибки в управлении процессами[72]:

• неадекватная организация внутренних процессов и процедур, несовершенство распределения обязанностей и полномочий внутри бизнес-процесса, неправильные внутренние коммуникации и документооборот бизнес-процесса;

• несоблюдение, неточное соблюдение правил и стандартов бухгалтерского учёта;

• бухгалтерские технические ошибки (ошибки в бухгалтерских проводках);

• ошибки при вводе, загрузке или поддержании данных в автоматизированной банковской системе (ошибки в атрибуции клиентов/контрагентов, процентных ставок, котировок, курсов валют, ошибки в отдельных аналитических модулях автоматизированной банковской системы);

• ошибки при вводе, загрузке или поддержании данных в специализированных прикладных программах, используемых структурными подразделениями организации;

• неправильное функционирование систем или моделей, ошибки в методологии, неправильно выбранная методология;

• непреднамеренное превышение должностных полномочий (в том числе персональных лимитов);

• прочие ошибки при выполнении задач по исполнению и поддержанию банковских операций;

• неточная внешняя финансовая отчётность организации;

• неточная внутренняя финансовая (бухгалтерская) отчётность (промежуточная отчётность, управленческая отчётность и т. п.);

• неточная отчётность о деятельности организации (ежемесячная информация в адрес учредителей (акционеров) организации, иные формы отчётности);

• отсутствующая или неполная юридическая документация по клиентам/контрагентам (в том числе кредитные досье, юридические досье и т. п.);

• ошибки в договорных документах с клиентами/контрагентами;

• утеря и некомплектность документов клиента/контрагента;

• ошибки и неточности при совершении операций по счетам клиентов (несвоевременное списание/зачисление средств, неправильные реквизиты, прочие ошибки и неточности);

• ошибки и неточности со стороны клиентов (неправильные реквизиты, прочие неточности, повлёкшие дополнительные затраты);

• ошибки и неточности при совершении операций с контрагентами (операции по межбанковскому кредитованию, ведение корреспондентских счетов, операции с ценными бумагами и т. п.);

• конфликты с контрагентами, в том числе предъявление штрафных санкций;

• аутсорсинг (ошибки и неточности при выборе компаний, осуществляющих аутсорсинг, конфликты, непредоставление, ненадлежащее предоставление услуг и т. п.);

• ошибки и неточности при оказании организации консалтинговых услуг;

• конфликты с поставщиками, невыполнение обязательств перед организацией поставщиками услуг, исполнителями работ, неправильный выбор поставщика, подрядчика.

Оценка и мониторинг операционного риска предполагают качественное и количественное измерение операционного риска. В качестве основных подходов к измерению, оценке и мониторингу операционного риска используются следующие методы:

● Численная (нормативная) оценка, которая проводится путём учёта необходимости резервирования капитала под события операционного риска, путём включения в расчёт показателя достаточности капитала.

● Карты операционных рисков, первоначально составляемые на основе результатов опроса экспертов (руководителей и специалистов организации) по категориям риска для всей организации в целом и/или по структурным подразделениям и бизнес-процессам. По мере накопления данных об операционных потерях построение карты рисков проводится на основе фактических данных об операционных потерях. Карты операционных рисков используются для оценки риска, а также для его мониторинга.

● Самооценка операционного риска, являющаяся экспертным балльно-весовым методом, позволяющим оценить уровень контроля операционных рисков или подверженность остаточному[73] (не контролируемому) операционному риску в разрезе выбранных единиц портфеля операционных рисков (структурных подразделений, бизнес-направлений) и категорий операционных рисков. Самооценка операционного риска осуществляется на основе анкетных опросов экспертов (руководителей структурных подразделений), которые проводят критическую самооценку уровня контроля операционных рисков в своих структурных подразделениях. Экспертные опросы проводятся в целях определения на выбранном объекте следующей информации:

• факторы риска, которым подвержен выбранный объект риска;

• возможные сценарии реализации выбранного фактора риска на выбранном объекте риска;

• последствия реализации сценария и частота его реализации;

• эффективность текущих мер контроля риска;

• предложения по стратегии управления описанным риском и мероприятиям по минимизации последствий вследствие реализации риска;

• ключевые показатели риска (ключевые индикаторы риска), которые могут быть использованы на выбранном объекте риска.

● Расчёт ключевых показателей риска, основанный на системе числовых индикаторов (показателей и параметров), которые теоретически или эмпирически связаны с уровнем операционного риска. В их состав входят показатели, характеризующие частоту возникновения случаев операционных убытков, и показатели, косвенно характеризующие вероятность возникновения потерь.

● Стресс-тестирование (сценарный анализ), используемое для анализа возможных значений операционных убытков в различных вариантах развития событий. Сценарный анализ позволяет смоделировать критические ситуации проявления операционного риска и оценить его влияние на деятельность организации.

Для минимизации операционного риска организация осуществляет регулирование операционного риска[74]. При определении методов ограничения (минимизации) операционных рисков организация подразделяет факторы операционного риска на подконтрольные (контролируемый[75] операционный риск) и неподконтрольные (остаточный операционный риск).

В целях ограничения операционных рисков при освоении новых направлений деятельности, продуктов, технологий и изменения ключевых бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.

В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:

● способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);

● способы покрытия отдельных видов возможных потерь от реализации операционных рисков (создание резервов, распределение капитала и страхование).

В части подконтрольных факторов операционного риска организация осуществляет следующие меры (мероприятия):

● разработку организационной структуры, правил и процедур совершения банковских операций и других сделок;

● разработку порядка утверждения (согласования) и подотчётности по заключаемым сделкам и проводимым операциям;

● обеспечение информационной безопасности за счёт:

• разработки нормативно-методических документов, регламентирующих осуществление деятельности по защите информации;

• разработки и реализации комплекса организационно-технических мероприятий по защите информационных активов от возможных угроз;

• обеспечения резервирования данных, направленного на сохранение и возможность восстановления информационных активов в случае возникновения сбоев и отказов технических и программных средств, ошибочных действий персонала, техногенных аварий и других непредвиденных обстоятельств;

• проведения аудита информационно-технологических систем в целях выявления неучтённых ранее источников операционного риска;

● снижение операционных рисков путём внедрения новых информационных технологий и автоматизации бизнес-процессов, совершаемых в «ручном» режиме;

● внедрение квалификационных требований, повышение уровня квалификации персонала, обучение новым информационным технологиям и правилам обеспечения информационной безопасности на рабочем месте, материальное стимулирование и улучшение условий труда, применение санкций за нарушения технологий, установление персональных лимитов полномочий и пр.;

● установление структурных лимитов;

● осуществление страхования:

• зданий и иного имущества – от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;

• персонала – от несчастных случаев и причинения вреда здоровью;

• носителей информации и самой информации – на случай утраты;

• специфических рисков, в том числе связанных с профессиональной ответственностью персонала, ущерба от преступлений в сфере компьютерной информации.

В части неподконтрольных факторов операционного риска организацией осуществляются:

● стресс-тестирование – построение различных сценариев развития событий;

● разработка и внедрение комплексной системы мер по обеспечению непрерывности финансово-хозяйственной деятельности организации, включая планы действий на случай непредвиденных обстоятельств.

Эффективность системы управления операционными рисками, в том числе предотвращение операционных рисков, основывается на качественной системе внутреннего контроля в организации. Создание эффективных процедур, которые в совокупности составляют единую систему внутреннего контроля, является основным методом управления операционными рисками. Процедуры внутреннего контроля являются обязательным элементом при осуществлении всех бизнес-процессов, что позволяет сократить вероятность и последствия реализации операционного риска.