6.1. Компонент № 1. Эффективная работа с инцидентами

6.1.1. Гарантии качественной обработки всех банковских инцидентов.

6.1.1.1. Банк организует работу со всеми видами банковских инцидентов[23]. По каждому виду инцидентов банк назначает департамент, который в рамках выполнения своих функций[24] отвечает за организацию и осуществление эффективной работы с этими инцидентами (за их идентификацию, минимизацию ущерба, расследование, отчеты об исполнении мер и за организацию прочих необходимых действий во всем банке, включая его территориальные подразделения). Непосредственно такую работу с инцидентами организуют риск-координаторы департаментов.

6.1.1.2. Риск-координатор назначает экспертов по инцидентам[25] в своем департаменте и среди сотрудников, функционально курируемых департаментом (в т. ч. в территориальных подразделениях), организует и контролирует их работу. Численность и местонахождение экспертов по инцидентам определяется так, чтобы они охватывали работой все инциденты своего вида во всем банке, включая все территориальные подразделения (при этом может использоваться удаленная работа с инцидентами).

6.1.1.3. По однотипным инцидентам[26] или инцидентам с уровнем значимости высокий и выше[27], риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты:

• виды инцидентов, подлежащих обработке, их признаки;

• порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников));

• классификацию критичности инцидентов этого вида;

• мотивацию сотрудников банка к регистрации сообщений об инцидентах;

• порядок эскалации и определения шкалы срочности, которая должна быть применена к инцидентам данной категории;

• последовательность действий при реагировании на инцидент, данные об основных участниках процесса реагирования на инциденты и их обязанности;

• процесс анализа последствий инцидента;

• действия по ограничению распространения инцидента, устранению последствий;

• порядок актуализации инцидентов, по которым не все меры выполнены или возможно изменение существенных обстоятельств.

6.1.1.4. Все инциденты подлежат учету. При этом значимые инциденты[28] подлежат детальному учету, т. е. должны фиксироваться обстоятельства инцидента, принятые меры, их результаты, возможные изменения, прежде всего возможные поступления или отчисления, а также планируемые действия и сроки, предложения по вводу процедур недопущения повторений инцидента, по наказанию виновных и т. д. (писок полей приведен в Приложении 4).

6.1.2. Три основных этапа работы с инцидентами.

Работа с инцидентами делится на три этапа:

Этап 1. Обнаружение инцидента и реагирование на него (осуществляет эксперт по инцидентам);

Этап 2. Отчет об обработке инцидента (осуществляет эксперт по инцидентам);

Этап 3. Проверка качества обработки инцидента (осуществляют риск-координатор и риск-менеджер).

Схема 4. Три основных этапа работы с инцидентами

6.1.3. Этап 1. Обнаружение инцидента и реагирование на него.

Вне зависимости от количества субъектов, участвующих в обнаружении инцидента и реагировании на него, в целом за эти действия отвечает одно лицо – соответствующий эксперт по инцидентам.

6.1.3.1. Обнаружение признаков инцидента и регистрация сообщения.

6.1.3.1.1. При обнаружении признаков инцидента[29] незамедлительно осуществляются следующиепервичные действия:

• действия по сохранению жизни и здоровья сотрудников и клиентов и первичные действий по минимизации ущерба от инцидента (при наличии такой обязанности);

• регистрация сообщения об инциденте (по процедуре, установленной для этого вида инцидентов).

6.1.3.1.2. Обнаружить признаки и зарегистрировать сообщение может любой сотрудник банка (регистратор) или непосредственно эксперт по инцидентам. Сотрудник имеет право не регистрировать сообщение об инциденте, когда точно знает, что такая регистрация уже осуществлена другим сотрудником и впоследствии это может быть документально подтверждено.

В тех случаях, когда инцидент произошел, но не был зарегистрирован, привлечению к дисциплинарной ответственности за неисполнение функции регистрации подлежат руководитель подразделения, в котором произошел инцидент. Также в обязательном порядке производится разбирательство, должным ли образом риск-координатор и эксперт по инцидентам организовали процедуры идентификации и регистрации инцидентов (так, чтобы сотрудники банка, которые вероятнее всего могут обнаружить инцидент, знали о признаках таких инцидентов, знали, как регистрировать сообщения об инцидентах (с ними проводилось обучение), и были заинтересованы это делать). Если этого не было сделано, риск-координатор и эксперт по инцидентам также привлекаются к дисциплинарной ответственности.

6.1.3.1.3. Сообщения об инциденте должно поступать на рассмотрение соответствующего эксперта по инцидентам не более 5 минут после факта регистрации.

6.1.3.2. Реагирование на инцидент.

6.1.3.2.1. После осуществления первичных действий и получения сообщения об инциденте эксперт по инцидентам осуществляет следующие действия:

• направляет регистратору инцидента уведомление: «Сообщение об инциденте (название инцидента) принято в работу (Ф.И.О. эксперта по инцидентам)»;

• организует дальнейшую локализацию инцидента, устранение его последствий, при необходимости координируя деятельность других лиц, участвующих в работе с инцидентом;

• формирует отчет о работе с инцидентом (не позже 4 часов после регистрации сообщения об инциденте).

6.1.4. Этап 2. Отчет об обработке инцидента.

Эксперт по инцидентам составляет отчет о работе с инцидентом.

В случае если инцидент полностью исчерпан (все меры исполнены, изменений не прогнозируется), то регистратору инцидента направляется уведомление: «Закончена работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам. Подтвердите факт того, что инцидент полностью исчерпан».

В случае если инцидент имеет статус «Не закончен» (по инциденту предполагаются дополнительные меры или прогнозируются изменения), то регистратору инцидента направляется сообщение: «Закончена первичная работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам, об окончании работ будет сообщено дополнительно».

Если инцидент является значимым[30], то эксперт по инцидентам в своем отчете фиксирует детали инцидента согласно полям Приложения 4 и отправляет его на согласование риск-координаторуне позже чем через 4 часапосле регистрации сообщения об инциденте.

6.1.5. Этап 3. Проверка качества обработки инцидента.

Риск-координатор проверяет отчет об обработке инцидента, поступивший от эксперта по инцидентам (не позже чем через 4 часа после отправки отчета экспертом по инцидентам) и совершает следующие действия:

• в случае обнаружения неточностей, фактов о том, что не все обстоятельства установлены, не все прогнозы и планы зафиксированы, он возвращает отчет об инциденте с замечаниями, которые должны быть устранены;

• при отсутствии замечаний он подтверждает правильность и достоверность отчета, факты исполнения перечисленных в нем мер и направляет отчет на проверку риск-менеджерам, которые осуществляют аналогичную проверку отчета об инциденте.

6.1.6. Дополнительная работа с инцидентом.

Эксперт по инцидентам осуществляет дополнительные работы по инциденту и обновляет отчет об инциденте при наступлении следующих событий:

• если отчет об инциденте возвращен риск-координатором или риск-менеджером с замечаниями, которые должны быть устранены;

• если эксперт по инцидентам не успел осуществить все меры в течении четырех часов с момента регистрации сообщения об инциденте (обязанность отправки первичного отчета в течение четырех часов сохранятся);

• если наступил срок для совершения ранее запланированных дополнительных мер по инциденту (например, для установления содержания судебного решения, совершения звонка клиенту, дополнительного выезда и пр.);

• если требование об актуализации инцидента поступило от риск-координатора или риск-менеджера;

• если произошли изменения в обстоятельствах инцидента (например, поступили возмещения по инциденту или выявлены дополнительные убытки).

Все инциденты со статусом «Не закончено» (по инциденту предполагаются дополнительные меры или прогнозируются изменения) должны обновляться экспертом по инцидентам (с обновлением отчета о работе с инцидентом) не реже одного раза в две недели.

6.1.7. Отчетность об инцидентах.

Еженедельно всем руководителям департаментов[31] представляется отчетность об инцидентах, которые относятся к их департаменту (количество инцидентов, убытки, динамика с начала года, наиболее крупные инциденты, крупные инциденты со статусом «Не закончено», инциденты, которые продолжают нести потенциальную угрозу убытка и пр.). Эти отчеты предоставляются риск-менеджерами.

Ежемесячно аналогичные отчеты представляются комитету по рискам.

Ежеквартально аналогичные отчеты представляются Правлению.

Ежегодно отчет об операционных рисках представляется Совету директоров.

Информация об инцидентах с фактическим убытком более 50 тыс. руб.[32] доводится до соответствующих руководителей департаментов, до риск-менеджеров и до директора по рискам не позднее четырех часов с момента обнаружения инцидента. Такие инциденты и осуществляемые по ним меры ставятся на особый контроль (в т. ч. в рамках процедур раздела 6.2).

6.1.8. Технологическая среда учета и обработки инцидентов.

6.1.8.1. Организация учета и обработки инцидентов должна удовлетворять следующим требованиям:

• все сообщения об инцидентах, отчеты об обработке инцидентов, замечания риск-координаторов и риск-менеджеров по отчетам должны фиксироваться на электронных носителях, поддерживающих последующую выгрузку этих данных в excel-таблицы;

• сообщение об инциденте должно маршрутизироваться (передаваться) соответствующему эксперту по инцидентам (для принятия его в работу) и соответствующему риск-координатору (для уведомления о факте инцидента) не позднее 5 минут после регистрации такого сообщения;

• должна поддерживаться маршрутизация (передача) отчетов о работе с инцидентом (по значимым инцидентам) от эксперта по инцидентам к риск-координатору и риск-менеджеру;

• по значимым инцидентам[33] отчет эксперта по инцидентам об обработке инцидента должен содержать обязательный перечень полей, которые должны быть заполнены (см. Приложение 4);

• обновленные выгрузки всех сообщений об инцидентах и отчетов об обработке инцидентов должны производится в формате excel-таблиц, доступном для загрузки в единую базу операционных рисков, на ежедневной основе.

6.1.8.2. Учет и обработка инцидентов[34] может производится в одной из следующих систем:

• в узкоспециализированной системе обработки инцидентов конкретного департамента;

• в единой базе операционных рисков[35].

Выбор использования системы определяется риск-координатором.

6.1.8.3. Если обработка инцидентов в узкоспециализированной системе имеет регулярные сбои и ошибки, не удовлетворяет требованиям нормативных документов банка, риск-менеджеры ставят вопрос о переносе работы с инцидентами из этой системы в единую базу операционных рисков (в комитет по рискам).

6.1.8.4. Для возможности легкой и быстрой регистрации сотрудниками инцидентов банк создает интернет страницу на своем внутреннем сайте с названием: «Сообщить об инциденте или проблеме»[36].

6.1.8.5. При отсутствии автоматизированных систем учета и обработки инцидентов риск-координаторы могут организовывать направление уведомлений по телефону или электронной почте, но с обязательной фиксацией в excel сообщений об инцидентах и отчетов о работе с инцидентами.

6.1.9.Критерии оценки эффективности работы с инцидентами.

6.1.9.1. Эффективность деятельности риск-координаторов в организации работы с инцидентами своего департамента и курируемых им подразделений и сотрудников оценивается по следующим показателям.

1. Количественные показатели: – рост сумм предотвращенных и возмещенных убытков; – рост количества учтенных инцидентов; – снижение времени обработки инцидентов.

2. Качественные показатели: – улучшение качества отчетов об инцидентах; – улучшение регламентов по идентификации инцидентов и их обработке; – улучшение отчетности по инцидентам.

6.1.9.2. Эффективность деятельности риск-менеджеров оценивается по тем же показателям, что отмечены в п. 6.1.9.1, но в разрезе всего банка.