• проведения аудита информационно-технологических систем в целях выявления неучтённых ранее источников операционного риска;
● снижение операционных рисков путём внедрения новых информационных технологий и автоматизации бизнес-процессов, совершаемых в «ручном» режиме;
● внедрение квалификационных требований, повышение уровня квалификации персонала, обучение новым информационным технологиям и правилам обеспечения информационной безопасности на рабочем месте, материальное стимулирование и улучшение условий труда, применение санкций за нарушения технологий, установление персональных лимитов полномочий и пр.;
● установление структурных лимитов;
● осуществление страхования:
• зданий и иного имущества – от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;
• персонала – от несчастных случаев и причинения вреда здоровью;
• носителей информации и самой информации – на случай утраты;
• специфических рисков, в том числе связанных с профессиональной ответственностью персонала, ущерба от преступлений в сфере компьютерной информации.
В части неподконтрольных факторов операционного риска организацией осуществляются:
● стресс-тестирование – построение различных сценариев развития событий;
● разработка и внедрение комплексной системы мер по обеспечению непрерывности финансово-хозяйственной деятельности организации, включая планы действий на случай непредвиденных обстоятельств.
Эффективность системы управления операционными рисками, в том числе предотвращение операционных рисков, основывается на качественной системе внутреннего контроля в организации. Создание эффективных процедур, которые в совокупности составляют единую систему внутреннего контроля, является основным методом управления операционными рисками. Процедуры внутреннего контроля являются обязательным элементом при осуществлении всех бизнес-процессов, что позволяет сократить вероятность и последствия реализации операционного риска.
1.3.8. Стратегический риск
Целями управления стратегическим риском являются:
● снижение вероятности возникновения у организации убытков вследствие несовершенства корпоративного управления[76] либо некорректно определённых при бизнес-планировании[77] стратегий[78] развития (стратегических целей и задач);
● повышение уровня доверия к организации (деловой репутации) со стороны клиентов, контрагентов, участников финансового рынка, союзов (ассоциаций), участником которых является организация, путём соблюдения правил и обычаев делового оборота, условий заключаемых договоров, сделок и т. д.;
● повышение эффективности проводимых операций.
Основными задачами по управлению стратегическим риском являются:
● выявление и анализ факторов стратегического риска, возникающего у организации в процессе текущей деятельности;
● построение эффективной модели корпоративного управления, отвечающей целям и масштабу деятельности организации;
● исключение конфликта интересов на всех этапах деятельности организации;
● соблюдение всеми сотрудниками внутренних нормативных актов и норм применимого права;
● осуществление контроля за исполнением стратегии;
● принятие адекватных мер для снижения/избежания возможных потерь в случае реализации стратегического риска.
В процессе управления стратегическим риском сотрудники руководствуются:
● принципом непрерывности, при котором организация проводит постоянный мониторинг факторов, влияющих на уровень стратегического риска, а также в случае необходимости вносит в оперативном порядке изменения во внутренние нормативные документы;
● принципом информированности, при котором управление стратегическим риском сопровождается наличием объективной, достоверной и актуальной информации;
● принципом адекватности – адекватность управления стратегическим риском характеру и размерам деятельности организации.
Существующая правоприменительная практика выделяет следующие основные факторы, влияющие на возникновение стратегического риска:
● недостаточно чёткие и реалистичные цели и задачи, поставленные руководством организации;
● недостаточно обоснованные/неправильно определённые перспективы направлений деятельности организации;
● недостатки/ошибки при принятии решений, определяющих стратегию деятельности и развития организации;
● недостаточно эффективная организация процесса корпоративного управления;
● возникновение конфликта интересов;
● принятие решений в текущей деятельности вразрез или в противоречие с утверждённой стратегией;
● полное/частичное отсутствие соответствующих организационных, информационно-методологических, кадровых и финансовых ресурсов для достижения стратегических целей деятельности организации;
● недостатки в управлении банковскими рисками, осуществление рискованной кредитной, инвестиционной и рыночной политики, высокий уровень операционного риска, недостатки в организации системы внутреннего контроля.
Организация проводит анализ факторов, влияющих на стратегический риск, определяет источники и причины их возникновения, а также их влияние на деятельность и финансовое состояние и для управления стратегическим риском осуществляет следующие мероприятия:
● определяет основные цели и задачи деятельности и разрабатывает в соответствии с ними стратегию развития;
● в рамках исполнения стратегии осуществляет бизнес-планирование, финансовое планирование, а также осуществляет текущее планирование деятельности путём постановки текущих задач перед структурными подразделениями организации и разработки структурными подразделениями детализированных планов по всем направлениям деятельности;
● на постоянной основе осуществляет контроль за исполнением стратегии и бизнес-планов;
● проводит контроль за выполнением утверждённых планов в рамках реализации стратегии и в случае необходимости принимает меры, направленные на корректировку планов деятельности для реализации стратегии развития;
● создаёт адекватную организационную структуру, в том числе осуществляет разграничение полномочий органов управления по принятию решений, а также централизацию стратегического управления в одном структурном подразделении, отвечающем за разработку стратегии;
● проводит на постоянной основе мониторинг изменений политической и экономической ситуации в стране инкорпорации организации, а также в странах местопребывания аффилированных (связанных) с ней лиц[79];
● проводит мониторинг и анализ изменения рыночной среды;
● осуществляет обоснованное принятие решений об участии организации в инвестиционных, кредитных и других проектах с учётом факторов стратегического риска;
● производит мониторинг и оценку адекватности ресурсов для реализации стратегии: финансовых, организационных, информационно-методологических, кадровых;
● организует систему управления рисками, адекватную масштабам своей деятельности, уровню рисков и текущим задачам;
● организует систему внутреннего контроля с учётом характера и масштабов деятельности организации;
● разрабатывает мероприятия, направленные на минимизацию/ регулирование выявленных стратегических рисков;
● осуществляет контроль за уровнем управления стратегическим риском в целом;
● формирует эффективную систему документооборота, обеспечивает оперативный доступ сотрудников к актуальной нормативной базе законодательства, а также к нормативной базе внутренних актов организации;
● формирует систему информационной безопасности организации.
1.3.9. Риск потери деловой репутации[80]
Риск потери деловой репутации[81] (репутационный риск) – риск возникновения у организации убытков вследствие формирования в обществе негативного представления о её финансовой устойчивости, качестве оказываемых ей услуг или о характере её деятельности в целом, риск утраты имиджа стабильно надёжной организации.
