Операционно-технологический риск — это потенциальный риск для существования банка, который возникает из-за недостатков корпоративного управления, системы внутреннего контроля или неадекватности информационных технологий и процессов обработки информации с точки зрения управляемости, универсальности, надежности, контролируемости и непрерывности работы этих технологий.
Такие недостатки могут привести к финансовым убыткам из-за ошибки, несвоевременного выполнения работ или мошенничества или стать причиной того, что интересы банка пострадают в какой-то иной способ, например, дилеры, кредитные работники и другие работники банка превысят свои полномочия или осуществят операции в нарушение этических норм или со слишком высоким риском.
Операционно-технологический риск возникает также из-за неадекватности стратегии, политики и использования информационных технологий. К другим аспектам операционно-технологического риска относится вероятность непредвиденных событий (пожар или стихийное бедствие).
Для оценки операционно-технологического риска работники надзора должны учитывать следующие факторы:
- существование адекватной, эффективной, доведённой до исполнителей внутренней нормативной базы (положений, процедур) по управлению операционно-технологическим риском, утверждённой соответствующими органами банка исходя из принципов корпоративного управления, а также соответствующей практики выполнения её требований;
- количество и сложность обработки операций по сравнению с уровнем развития и мощностью операционных и контрольных систем, учитывая предыдущие результаты работы этих систем, их текущее состояние и перспективы дальнейшего совершенствования;
- вероятность технологических и операционных сбоев, превышение полномочий персоналом, недостатки в предыдущем анализе операций при принятии решений, а также отсутствие мониторинга или регистрации операций с клиентами или контрагентами;
- наличие и соблюдение банком технологических карт осуществления операций, наличие, количество, причины и характер нарушений процедур административного и учетного контроля;
- потенциальная возможность финансовых убытков вследствие:
- ошибки исполнителей или мошенничества;
- низкой операционной конкурентоспособности банка;
- неадекватности существующих информационных систем;
- неполной информации по контрагенту или операции;
- операционных и технологических сбоев;
- история и характер жалоб и обращений клиентов в банк в связи с недостатками работы операционных систем и реакция на них банка;
- объемы и адекватность средств контроля за банковским программным обеспечением и его сопровождением и другими услугами, которые осуществляются с привлечением третьих лиц (аутсорсинга);
- адекватность стратегии по информационным технологиям. Стратегия по информационным технологиям должна соответствовать текущим и предполагаемым требованиям деятельности банка и учитывать структуру технических средств, телекоммуникационных средств, программного обеспечения, данных и сетей, а также целостность информационной базы данных;
- наличие процесса для:
- определения информационных потребностей для эффективного управления банком;
- определения архитектуры информационных систем для обработки операций и предоставления продуктов и услуг;
- обеспечения достоверности и сохранности информации на основе обеспечения непрерывной деятельности;
- обеспечения своевременной подготовки и использования управленческой информации;
- уровень квалификации и навыков менеджеров и работников;
- существование надлежащих механизмов контроля для мониторинга точности информации, надлежащих учетных подходов и соблюдения положений или законов.
Компоненты системы управления рисками по операционно-технологическому риску
Система контроля операционно-технологического риска банка состоит из регламентных документов — политик, положений, процедур, процессов и т.п., которые утверждаются в соответствии с выбранной формой корпоративного управления с учетом размера банка и сложности его операций.
Система контроля операционно-технологического риска должна содержать следующее:
- политику и положения по контролю за операционно-технологическим риском с целью его минимизации, которые должны быть рассмотрены и утверждены в соответствии с выбранной банком формой корпоративного управления. Эти политика и положения должны периодически пересматриваться;
- процедуры и средства контроля за операционно-технологическим риском, присущие операциям банка, в том числе:
- процедуры и средства контроля по соблюдению учётной политики банка и требований нормативно-правовых актов Национального банка относительно методов оценки активов и составления отчетности;
- процедуры и средства контроля по функционированию информационных систем банка и обеспечению бесперебойной деятельности, в частности процессы дублирования и восстановления информации, а также резервные системы в случае потери доступа или уничтожения важной информации или технологий;
- информационную систему управления (формы отчетности, схемы документооборота и т.д.) для наблюдательного совета, правления или профильных коллегиальных органов банка по мониторингу уязвимости всех видов деятельности банка операционно-технологическому риску;
- программу управления персоналом, которая включает:
- постоянный, эффективный процесс привлечения и удержания достаточного количества квалифицированного персонала, отвечающего потребностям банка и внешним обстоятельствам, с целью выполнения задач его деятельности и реализации стратегии и бизнес-планов;
- продуманные и определённые уровни полномочий по принятию любых решений;
- доведение до персонала его обязанностей;
- контроль над деятельностью персонала;
- разработка и внедрение процесса обучения с целью повышения квалификации работников;
- технологические схемы (карты) продуктов и услуг банка, поддерживаемые в постоянно актуальном состоянии;
- процедуры обеспечения потребностей банка в инфраструктуре (в частности в программном, аппаратном и другом обеспечении) в соответствии с его объёмом и сложности текущей и планируемой деятельности. Эти процедуры должны предусматривать санкционирование, тестирование и документирование всех операционно-технологических систем банка перед началом их эксплуатации, а также механизмы их актуализации, в том числе проверку действительности лицензионных соглашений;
- процесс периодического тестирования установленных процедур и технологий осуществления операций, в том числе процедур физической и информационной безопасности, с целью контроля над соблюдением этих процедур и технологий и сбора информации об их возможном усовершенствовании в случае их неэффективности.
Кроме того, для надлежащего контроля за операционно-технологическим риском рекомендуется:
- обеспечить надежное внеофисное хранение всех важных резервных документов и файлов банка;
- в случае использования банком услуг аутсорсинга, обеспечить четкую регламентацию таких вопросов:
- обстоятельств, при которых могут использоваться услуги аутсорсинга и перечня операций, к которым могут быть привлечены сторонние лица;
- процедур и критериев выбора поставщиков услуг;
- мониторинга качества работы и рисков, связанных с использованием сторонних поставщиков услуг.
Банкам также настоятельно рекомендуется учитывать лучший мировой опыт управления операционно-технологическим риском, который, в частности, изложен в положении Базельского комитета по банковскому надзору «Надежная практика управления и надзора по операционному риску», «Принципы риск-менеджмента электронного банкинга».