Операционно-технологический риск

Операционно-технологический риск — это потенциальный риск для существования банка, который возникает из-за недостатков корпоративного управления, системы внутреннего контроля или неадекватности информационных технологий и процессов обработки информации с точки зрения управляемости, универсальности, надежности, контролируемости и непрерывности работы этих технологий.

Такие недостатки могут привести к финансовым убыткам из-за ошибки, несвоевременного выполнения работ или мошенничества или стать причиной того, что интересы банка пострадают в какой-то иной способ, например, дилеры, кредитные работники и другие работники банка превысят свои полномочия или осуществят операции в нарушение этических норм или со слишком высоким риском.

Операционно-технологический риск возникает также из-за неадекватности стратегии, политики и использования информационных технологий. К другим аспектам операционно-технологического риска относится вероятность непредвиденных событий (пожар или стихийное бедствие).

Для оценки операционно-технологического риска работники надзора должны учитывать следующие факторы:

  1. существование адекватной, эффективной, доведённой до исполнителей внутренней нормативной базы (положений, процедур) по управлению операционно-технологическим риском, утверждённой соответствующими органами банка исходя из принципов корпоративного управления, а также соответствующей практики выполнения её требований;
  2. количество и сложность обработки операций по сравнению с уровнем развития и мощностью операционных и контрольных систем, учитывая предыдущие результаты работы этих систем, их текущее состояние и перспективы дальнейшего совершенствования;
  3. вероятность технологических и операционных сбоев, превышение полномочий персоналом, недостатки в предыдущем анализе операций при принятии решений, а также отсутствие мониторинга или регистрации операций с клиентами или контрагентами;
  4. наличие и соблюдение банком технологических карт осуществления операций, наличие, количество, причины и характер нарушений процедур административного и учетного контроля;
  5. потенциальная возможность финансовых убытков вследствие:
    • ошибки исполнителей или мошенничества;
    • низкой операционной конкурентоспособности банка;
    • неадекватности существующих информационных систем;
    • неполной информации по контрагенту или операции;
    • операционных и технологических сбоев;
  6. история и характер жалоб и обращений клиентов в банк в связи с недостатками работы операционных систем и реакция на них банка;
  7. объемы и адекватность средств контроля за банковским программным обеспечением и его сопровождением и другими услугами, которые осуществляются с привлечением третьих лиц (аутсорсинга);
  8. адекватность стратегии по информационным технологиям. Стратегия по информационным технологиям должна соответствовать текущим и предполагаемым требованиям деятельности банка и учитывать структуру технических средств, телекоммуникационных средств, программного обеспечения, данных и сетей, а также целостность информационной базы данных;
  9. наличие процесса для:
    • определения информационных потребностей для эффективного управления банком;
    • определения архитектуры информационных систем для обработки операций и предоставления продуктов и услуг;
    • обеспечения достоверности и сохранности информации на основе обеспечения непрерывной деятельности;
    • обеспечения своевременной подготовки и использования управленческой информации;
  10. уровень квалификации и навыков менеджеров и работников;
  11. существование надлежащих механизмов контроля для мониторинга точности информации, надлежащих учетных подходов и соблюдения положений или законов.

Компоненты системы управления рисками по операционно-технологическому риску

Система контроля операционно-технологического риска банка состоит из регламентных документов — политик, положений, процедур, процессов и т.п., которые утверждаются в соответствии с выбранной формой корпоративного управления с учетом размера банка и сложности его операций.

Система контроля операционно-технологического риска должна содержать следующее:

  • политику и положения по контролю за операционно-технологическим риском с целью его минимизации, которые должны быть рассмотрены и утверждены в соответствии с выбранной банком формой корпоративного управления. Эти политика и положения должны периодически пересматриваться;
  • процедуры и средства контроля за операционно-технологическим риском, присущие операциям банка, в том числе:
    • процедуры и средства контроля по соблюдению учётной политики банка и требований нормативно-правовых актов Национального банка относительно методов оценки активов и составления отчетности;
    • процедуры и средства контроля по функционированию информационных систем банка и обеспечению бесперебойной деятельности, в частности процессы дублирования и восстановления информации, а также резервные системы в случае потери доступа или уничтожения важной информации или технологий;
  • информационную систему управления (формы отчетности, схемы документооборота и т.д.) для наблюдательного совета, правления или профильных коллегиальных органов банка по мониторингу уязвимости всех видов деятельности банка операционно-технологическому риску;
  • программу управления персоналом, которая включает:
    • постоянный, эффективный процесс привлечения и удержания достаточного количества квалифицированного персонала, отвечающего потребностям банка и внешним обстоятельствам, с целью выполнения задач его деятельности и реализации стратегии и бизнес-планов;
    • продуманные и определённые уровни полномочий по принятию любых решений;
    • доведение до персонала его обязанностей;
    • контроль над деятельностью персонала;
    • разработка и внедрение процесса обучения с целью повышения квалификации работников;
  • технологические схемы (карты) продуктов и услуг банка, поддерживаемые в постоянно актуальном состоянии;
  • процедуры обеспечения потребностей банка в инфраструктуре (в частности в программном, аппаратном и другом обеспечении) в соответствии с его объёмом и сложности текущей и планируемой деятельности. Эти процедуры должны предусматривать санкционирование, тестирование и документирование всех операционно-технологических систем банка перед началом их эксплуатации, а также механизмы их актуализации, в том числе проверку действительности лицензионных соглашений;
  • процесс периодического тестирования установленных процедур и технологий осуществления операций, в том числе процедур физической и информационной безопасности, с целью контроля над соблюдением этих процедур и технологий и сбора информации об их возможном усовершенствовании в случае их неэффективности.

Кроме того, для надлежащего контроля за операционно-технологическим риском рекомендуется:

  • обеспечить надежное внеофисное хранение всех важных резервных документов и файлов банка;
  • в случае использования банком услуг аутсорсинга, обеспечить четкую регламентацию таких вопросов:
    • обстоятельств, при которых могут использоваться услуги аутсорсинга и перечня операций, к которым могут быть привлечены сторонние лица;
    • процедур и критериев выбора поставщиков услуг;
    • мониторинга качества работы и рисков, связанных с использованием сторонних поставщиков услуг.

Банкам также настоятельно рекомендуется учитывать лучший мировой опыт управления операционно-технологическим риском, который, в частности, изложен в положении Базельского комитета по банковскому надзору «Надежная практика управления и надзора по операционному риску», «Принципы риск-менеджмента электронного банкинга».