В процессе управления страновым риском организация осуществляет постоянный мониторинг, включающий:
● мониторинг суверенных рейтингов, присвоенных международными рейтинговыми агентствами;
● мониторинг информации о финансово-экономической, социальной и политической ситуации в соответствующих странах;
● мониторинг и анализ концентрации активных операций по страновому признаку;
● мониторинг и анализ показателей сегментации отдельных портфелей организации, подверженных страновому риску;
● мониторинг информации о клиентах – контрагентах организации, являющихся резидентами соответствующих стран.
В случае возникновения негативной тенденции организация разрабатывает процедуры минимизации и нейтрализации возможных последствий странового риска, осуществляет подготовку надлежащих мероприятий и управленческих решений, направленных на снижение уровня странового риска.
Контроль управления страновым риском проводится в рамках системы контроля лимитов организации.
Оперативный (текущий) контроль управления страновым риском осуществляется структурными подразделениями[61] в рамках своей компетенции, определённой положениями о структурных подразделениях и должностными регламентами.
Последующий контроль управления страновым риском проводится в рамках системы внутреннего контроля организации и включает как контроль за соблюдением структурными подразделениями установленных страновых лимитов, так и контроль самих установленных страновых лимитов и осуществляется внутренним структурным подразделением, наделённым функцией внутреннего аудита.
1.3.7. Операционный риск[62]
Операционный риск – риск прямых или косвенных потерь в результате неадекватных и ошибочных внутренних процессов, а также воздействия внешних событий либо факторов.
Целью управления операционным риском является обеспечение эффективного функционирования организации в условиях подверженности факторам такого риска.
Управление операционным риском осуществляется также в целях:
● повышения безопасности, надёжности и конкурентоспособности организации;
● совершенствования систем, процессов и технологий;
● соблюдения персоналом нормативных правовых актов и внутренних правил и регламентов.
Цели управления операционным риском достигаются путём использования системного, комплексного подхода, который подразумевает решение следующих задач:
● получение оперативных и объективных сведений о состоянии и размере операционного риска;
● качественная и количественная оценка (измерение) операционного риска;
● установление взаимосвязей между отдельными видами рисков с целью оценки воздействия мероприятий, планируемых для ограничения одного вида риска, на рост или уменьшение уровня других рисков;
● создание системы управления операционным риском для управления риском на стадии возникновения негативной тенденции, а также системы быстрого и адекватного реагирования, направленной на предотвращение достижения операционным риском критически значительных размеров.
Цели и задачи по управлению операционным риском реализуются на основе следующих принципов:
● принцип адекватности – адекватность системы управления операционным риском характеру и размерам деятельности организации;
● принцип непрерывности – непрерывное функционирование системы управления операционным риском, которое проводится на постоянной основе во всех структурных подразделениях организации;
● принцип централизованности – управление операционным риском осуществляется централизованно на единой нормативно-методической основе;
● процессный принцип – все процедуры управления и контроля рисков распределены на отдельные функции и операции, выполняемые разными структурными подразделениями на единой нормативно-методической основе, исключающей дублирование функций и конфликты интересов;
● измерение операционного риска проводится по принципу «от простого к сложному» по мере разработки более «продвинутых» систем и совершенствования системы управления операционными рисками;
● формирование у персонала культуры управления операционным риском, а также знаний об операционном риске, который может возникать в связи с выполнением им должностных обязанностей, а также мотивации сотрудников на выявление факторов (причин) операционного риска;
● регулярная оценка уровня операционного риска, присущего как существующим на момент оценки, так и разрабатываемым продуктам, видам деятельности, автоматизированным системам и процессам организации;
● минимизация и/или предотвращение операционных рисков на основе эффективной системы внутреннего контроля;
● применение мер по ограничению операционного риска, стоимость которых не превышает ожидаемую выгоду, получаемую от потенциального снижения операционных издержек;
● ведение постоянного мониторинга операционных рисков и операционных потерь, предоставление соответствующей информации в виде отчётов руководству организации;
● информирование на регулярной основе органов управления организации об уровне операционного риска.
В целях построения эффективной системы управления операционными рисками организация определяет следующие направления внедрения системы управления операционными рисками:
● идентификация (выявление) операционных рисков по направлениям деятельности (бизнес-направлениям) организации, учёт и классификация инцидентов операционных рисков, сбор данных о размере потерь и вероятности наступления рисковых событий;
● оценка, мониторинг и предметный анализ операционных рисков, решение задач по минимизации (устранению) операционных рисков;
● регулирование (принятие, ограничение или нейтрализация) операционного риска;
● выбор механизмов контроля за операционными рисками, внедрение системы контроля и отчётности по операционному риску, совершенствование методов измерения операционного риска, а также контроль системы управления операционным риском.
Идентификация операционных рисков
Внутренними и внешними факторами (причинами) операционного риска являются:
● недостаточный уровень автоматизации процессов, отсутствие доступа к коммерческим базам данных, сбои/отказы автоматизированных либо информационных систем, а также перебои в работе и порча оборудования;
● несовершенство организационной структуры организации в части распределения полномочий структурных подразделений и отдельных сотрудников, порядков и процедур заключения сделок либо осуществления операций, их документирования и отражения в учёте;
● несоблюдение сотрудниками установленных порядков и процедур, неэффективность внутреннего контроля (т. н. организационный риск);
● недостаточная компетенция персонала, недостаток кадров и неустойчивость штата организации, зависимость от отдельных специалистов, несанкционированные действия персонала, а также мошеннические действия (риск персонала);
● неблагоприятные внешние обстоятельства, находящиеся вне периметра организации, случайные или преднамеренные действия физических и/или юридических лиц, направленные против её интересов.
Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования организации на предмет наличия или возможности возникновения факторов операционного риска, который осуществляется на нескольких уровнях:
● анализ изменений в финансовой сфере организации в целом (освоение новых направлений деятельности, продвижение на рынке новых банковских услуг, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности;
● анализ подверженности операционному риску направлений деятельности (бизнес-процессов) с учётом приоритетов организации;
● анализ отдельных операций и сделок организации;
● анализ внутренних процедур, включая систему отчётности и обмена информацией.