Основные принципы комплаенс-контроля
Шрифт:
• ошибки и неточности при совершении операций с контрагентами (операции по межбанковскому кредитованию, ведение корреспондентских счетов, операции с ценными бумагами и т. п.);
• конфликты с контрагентами, в том числе предъявление штрафных санкций;
• аутсорсинг (ошибки и неточности при выборе компаний, осуществляющих аутсорсинг, конфликты, непредоставление, ненадлежащее предоставление услуг и т. п.);
• ошибки и неточности при оказании организации консалтинговых услуг;
• конфликты с поставщиками, невыполнение обязательств перед организацией поставщиками услуг, исполнителями работ, неправильный выбор поставщика, подрядчика.
Оценка и мониторинг
? Численная (нормативная) оценка, которая проводится путём учёта необходимости резервирования капитала под события операционного риска, путём включения в расчёт показателя достаточности капитала.
? Карты операционных рисков, первоначально составляемые на основе результатов опроса экспертов (руководителей и специалистов организации) по категориям риска для всей организации в целом и/или по структурным подразделениям и бизнес-процессам. По мере накопления данных об операционных потерях построение карты рисков проводится на основе фактических данных об операционных потерях. Карты операционных рисков используются для оценки риска, а также для его мониторинга.
? Самооценка операционного риска, являющаяся экспертным балльно-весовым методом, позволяющим оценить уровень контроля операционных рисков или подверженность остаточному [73] (не контролируемому) операционному риску в разрезе выбранных единиц портфеля операционных рисков (структурных подразделений, бизнес-направлений) и категорий операционных рисков. Самооценка операционного риска осуществляется на основе анкетных опросов экспертов (руководителей структурных подразделений), которые проводят критическую самооценку уровня контроля операционных рисков в своих структурных подразделениях. Экспертные опросы проводятся в целях определения на выбранном объекте следующей информации:
73
Объектами указанного риска являются отдельные виды активов, пассивов, расходов, доходов организации, качество систем, процессов и операций, значение или состояние которых может претерпеть негативное изменение под воздействием источников (факторов) операционного риска.
• факторы риска, которым подвержен выбранный объект риска;
• возможные сценарии реализации выбранного фактора риска на выбранном объекте риска;
• последствия реализации сценария и частота его реализации;
• эффективность текущих мер контроля риска;
• предложения по стратегии управления описанным риском и мероприятиям по минимизации последствий вследствие реализации риска;
• ключевые показатели риска (ключевые индикаторы риска), которые могут быть использованы на выбранном объекте риска.
? Расчёт ключевых показателей риска, основанный на системе числовых индикаторов (показателей и параметров), которые теоретически или эмпирически связаны с уровнем операционного риска. В их состав входят показатели, характеризующие частоту возникновения случаев операционных убытков, и показатели, косвенно характеризующие вероятность возникновения потерь.
? Стресс-тестирование (сценарный анализ), используемое для анализа возможных значений операционных убытков в различных вариантах развития событий. Сценарный анализ позволяет смоделировать критические ситуации проявления операционного риска и оценить его влияние
Для минимизации операционного риска организация осуществляет регулирование операционного риска [74] . При определении методов ограничения (минимизации) операционных рисков организация подразделяет факторы операционного риска на подконтрольные (контролируемый [75] операционный риск) и неподконтрольные (остаточный операционный риск).
В целях ограничения операционных рисков при освоении новых направлений деятельности, продуктов, технологий и изменения ключевых бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.
74
Комплекс мер, направленных на снижение вероятности наступления событий и обстоятельств, приводящих к операционным убыткам, и/или на уменьшение (ограничение) размера потенциальных операционных убытков.
75
Величина операционного риска, которую организация идентифицировала и полностью контролирует за счёт чёткой регламентации бизнес-процессов и операций, разграничения прав и ответственности, защиты информационных систем, эффективного отбора и обучения персонала и пр.
В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:
? способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);
? способы покрытия отдельных видов возможных потерь от реализации операционных рисков (создание резервов, распределение капитала и страхование).
В части подконтрольных факторов операционного риска организация осуществляет следующие меры (мероприятия):
? разработку организационной структуры, правил и процедур совершения банковских операций и других сделок;
? разработку порядка утверждения (согласования) и подотчётности по заключаемым сделкам и проводимым операциям;
? обеспечение информационной безопасности за счёт:
• разработки нормативно-методических документов, регламентирующих осуществление деятельности по защите информации;
• разработки и реализации комплекса организационно-технических мероприятий по защите информационных активов от возможных угроз;
• обеспечения резервирования данных, направленного на сохранение и возможность восстановления информационных активов в случае возникновения сбоев и отказов технических и программных средств, ошибочных действий персонала, техногенных аварий и других непредвиденных обстоятельств;
• проведения аудита информационно-технологических систем в целях выявления неучтённых ранее источников операционного риска;
? снижение операционных рисков путём внедрения новых информационных технологий и автоматизации бизнес-процессов, совершаемых в «ручном» режиме;
? внедрение квалификационных требований, повышение уровня квалификации персонала, обучение новым информационным технологиям и правилам обеспечения информационной безопасности на рабочем месте, материальное стимулирование и улучшение условий труда, применение санкций за нарушения технологий, установление персональных лимитов полномочий и пр.;