6.2. Компонент № 2. Выявление рисков и их устранение

Выявление рисков и их устранение (минимизация) – это анализ банка на предмет операционных рисков, идентификация рисков, определение мероприятий (рекомендаций) по их минимизации, контроль организации исполнения этих мероприятий владельцами процессов, в которых обнаружены риски.

Банк выделяет четыре этапа выявления рисков и их устранения

6.2.1. Этап 1. Анализ объектов потенциального риска и обнаружение рисков.

6.2.1.1. Субъектами выявления рисков и их устранения являются проверяющие: аудиторы, риск-менеджеры, риск-координаторы (последние в рамках процессов своих департаментов и курируемых подразделений) и специально уполномоченные сотрудники банка (например, сотрудники служб предупреждения мошенничества, юридической службы и др.).

Эти субъекты выявляют риски и формируют рекомендации по их устранению.

6.2.1.2. Объектами анализа могут выступать показатели работы банка, подразделений и сотрудников, отчеты, продукты, процессы, операции, подразделения, системы, нормативные, финансовые и иные документы, внешние факторы, влияющие на банк и иные объекты, которые могут послужить идентификации риска.

6.2.1.3. События, которые вызывают необходимость анализа и идентификации рисков:

• при формировании предложений по запуску / изменению банковского продукта;

• при формировании предложений по изменению бизнес-процессов (включая создание / изменение внутренних нормативных документов, подачу на исполнение бизнес-требований, бизнес-проектов, описывающих такие изменения);

• при изменении организационно-штатной структуры подразделений, их компетенции и выполняемых функций;

• при перераспределении функций и функциональных обязанностей сотрудников внутри подразделения, в том числе в связи с кадровыми назначениями и перестановками;

• при появлении внешних по отношению к банку факторов, влияющих на деятельность подразделений, действие которых будет носить долго– и среднесрочный характер (изменения в законодательстве, природные катаклизмы, техногенные факторы, социальные изменения и др.);

• при реализации катастрофических рисковых событий;

• при поступлении сообщений от системы раннего предупреждения рисков (см. п. 6.3), в т. ч. полученных в рамках самостоятельной оценки подразделениями уровня операционного риска их деятельности (RCSA).

По каждому виду перечисленных событий список проверяющих, которые обязаны провести анализ рисков и дать свое заключение, в числе прочего определяется матрицами полномочий согласно п. 6.7.2.1.5.

6.2.1.4. В некоторых случаях информация о риске или проблеме поступает в виде конкретного сообщения или является очевидной и не требует идентификации (например, обнаружено, что у подразделения нет обязательного отчета верхнего уровня по единому формату или нет показателей эффективности).

6.2.1.5. Риск-менеджеры обучают риск-координаторов так, чтобы они могли самостоятельно идентифицировать риски своего департамента и курируемых департаментом подразделений и сотрудников, классифицировать их и эскалировать на уровень риск-менеджера.

6.2.2. Этап 2. Фиксация риска как рекомендации (в т. ч. её согласование с владельцем процесса, в котором обнаружен риск).

6.2.2.1. Проверяющий, который идентифицировал риск, формирует рекомендацию по форме Приложения 5 (делает описание риска, определяет меры по его устранению или минимизации, владельца процесса, в котором обнаружен риск, сроки, тяжесть риска) и направляет её по e-mail владельцу процесса (см. п. 6.2.2.3), в котором обнаружен риск (самостоятельно или через риск-менеджеров). По взаимному согласию все параметры рекомендации могут корректироваться, однако если в течении 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно всех параметров рекомендации по форме Приложения 5, то они выносят этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.

6.2.2.2. В тех случаях, когда работы по минимизации риска уже ведутся или риск обозначается устранённым (без представления соответствующих подтверждений), рекомендации все равно фиксируются, назначаются к исполнению и будут считаться закрытыми только после проведения процедур по п. 6.2.3.4.

6.2.2.3. Ответственным за организацию исполнения рекомендации всегда обозначается одно лицо (во избежание перекладывания ответственности) – соответствующий руководитель департамента в чьем процессе обнаружен риск. В тех случаях, когда для исполнения рекомендации необходимы доработки информационно технологической структуры (далее ИТ), регламентов, оборудования или его закупки, проведение различных работ (в т. ч. рекламных кампаний, коррекции процессов, продуктов, систем мотивации и т. д.), указанный руководитель организует формирование необходимых требований на такие доработки, закупки, работы (при необходимости согласовывает их с риск-менеджерами) и контролирует их реализацию. При обнаружении некачественного исполнения таких требований ответственный эскалирует эту проблему до уровня риск-менеджера и комитета по рискам.

Ответственность за организацию исполнения рекомендации возлагается на нескольких ответственных только в тех случаях, когда не может возникнуть вероятность ситуации, в которой один ответственный может переложить часть ответственности за неисполнение рекомендации на другого ответственного. Например, рекомендация о представлении отчетов по единому формату может быть возложена на неограниченное число руководителей департаментов, так как каждый из них не сможет обосновать неисполнение рекомендации тем, что другой начальник не представил своего отчета.

6.2.2.4. Снижение уровня отдельных видов операционного риска может быть осуществлено путем внедрения контрольных процедур (согласно п. 6.3.4), передачи риска или его части третьим лицам (аутсорсинг). Аутсорсинг осуществляется на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между банком и поставщиком услуг. Для уменьшения финансовых последствий операционного риска (вплоть до полного покрытия потенциальных операционных убытков) возможно применение различных видов страхования.

6.2.2.5. Для случаев, когда минимизация риска является недостаточной (по мнению риск-координаторов или риск-менеджеров), комитет по рискам (или директор по рискам в зависимости от тяжести риска (см. пп. 4.1.1.3(1), 4.2.1.2(1), 4.2.2.1.) принимает решение о принятии риска или отказе от операций, его обуславливающих.

6.2.2.6. По риску может быть предложен индикатор, отражающий снижение или рост риска (по процедурам п. 6.3.2).

6.2.3. Этап 3. Организация исполнения рекомендаций.

6.2.3.1. Ответственный, назначенный согласно п. 6.2.2.3, организует исполнение рекомендаций.

6.2.3.2. Списки всех обнаруженных проверяющими рисков и сформированных ими рекомендаций передаются для единого учета и контроля риск-менеджерам в формате Приложения 5. Риск-менеджеры учитывают эти рекомендации как меры по устранению рисков, следят за тем, чтобы не было дублирующихся рекомендаций, учитывают их в реестре рисков в рамках функционирования системы раннего предупреждения рисков (см. п. 6.3.7).

6.2.3.3. Не реже одного раза в месяц риск-менеджер по e-mail затребует от исполнителей рекомендаций промежуточные отчеты о состоянии исполнения рекомендаций, возникающих проблемах и необходимости их эскалации. В случае если отчеты не представляются, рекомендация в отчете перед Правлением банка приобретает статус проблемной.

6.2.3.4. Рекомендация считается закрытой, когда владелец процесса представил документ, подтверждающий устранение риска (служебную записку, приказ, регламент, заключение), а проверяющий и риск-менеджер лично проверили исполнение рекомендации и подтвердили это своим экспертным мнением. В случае если в течение 5 рабочих дней проверяющий и владелец процесса не пришли к согласию относительно факта исполнения / не исполнения рекомендации риск-менеджер выносит этот вопрос на ближайшее заседание комитета по рискам, который принимает окончательное решение.

6.2.4. Этап 4. Ежеквартальный отчет об исполнении рекомендаций владельцами процессов.

6.2.4.1. Не реже одного раза в квартал риск-менеджер формирует единый отчет для Правления банка о количестве рисков и прогресса их устранения по форме Приложения 6 с проектом решения о предупреждении владельцев процессов, допускающих нарушения в устранении своих рисков (непринятие рекомендации к исполнению, нарушение сроков). При неоднократном вынесении предупреждений владельцам процессов риск-менеджер ставит вопрос о привлечении их к дисциплинарной ответственности.

6.2.4.2. Каждый выявленный риск и меры по нему должны быть также учтены в реестре рисков (по процедурам п. 6.3.7).

6.2.5. Критерии оценки эффективности выявления рисков и их устранения.

6.2.5.1. Эффективность деятельности риск-координаторов по организации выявления рисков своего департамента и курируемых им подразделений и сотрудников (и устранения этих рисков) оценивается по следующим показателям.

1. Количественные показатели: – рост сумм обнаруженных рисков; – рост сумм предотвращенных рисков; – увеличение количества устраненных рисков (рекомендаций); – увеличение количества проверенных процессов.

2. Качественные показатели: – улучшение регламентов; – улучшение отчетности по рискам.

6.2.5.2. Эффективность деятельности риск-менеджеров оценивается по тем же показателям что отмечены в п. 6.2.5.1, но в разрезе всего банка.