Рейтинг@Mail.ru

<Письмо> Банка России от 16.05.2012 N 69-Т

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПИСЬМО

от 16 мая 2012 г. N 69-Т

О РЕКОМЕНДАЦИЯХ

БАЗЕЛЬСКОГО КОМИТЕТА ПО БАНКОВСКОМУ НАДЗОРУ "ПРИНЦИПЫ

НАДЛЕЖАЩЕГО УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ РИСКОМ"

Банк России направляет для использования в рамках анализа деятельности кредитных организаций неофициальный перевод документа Базельского комитета по банковскому надзору "Принципы надлежащего управления операционным риском", июнь 2011 г.

Документ на английском языке (Basel Committee on Banking Supervision, "Principles for the Sound Management of Operational Risk", June 2011) доступен на web-сайте Банка международных расчетов www.bis.org.

Просьба довести настоящее письмо до сведения кредитных организаций.

Письмо подлежит опубликованию в "Вестнике Банка России".

Первый заместитель

Председателя Банка России

А.Ю.СИМАНОВСКИЙ

Приложение

к письму Банка России

от 16.05.2012 N 69-Т

"О рекомендациях Базельского комитета

по банковскому надзору "Принципы

надлежащего управления

операционным риском"

ПРИНЦИПЫ

НАДЛЕЖАЩЕГО УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ РИСКОМ И РОЛЬ НАДЗОРА

Предисловие

1. В публикации "Надлежащая практика управления операционным риском и надзора за ним" (далее - Надлежащая практика) от февраля 2003 года Базельский комитет по банковскому надзору (далее - Комитет) сформулировал основные принципы управления операционным риском для банков и надзорных органов. В дальнейшем, в 2006 году, в документе "Международная конвергенция измерения капитала и стандартов капитала: новые подходы - Полная версия" (обычно именуемом "Базель II") Комитет определил перспективы дальнейшего развития надлежащей бизнес-практики <*>. За последнее время банки и надзорные органы накопили дополнительные знания и опыт в области применения систем управления операционным риском. Кроме того, расширению опыта банков и надзорных органов и установлению надлежащей бизнес-практики способствовали сбор данных о понесенных убытках, изучение количественных последствий, а также ряд аналитических исследований, посвященных проблемам управления, сбора данных и моделирования методов измерения операционного риска.

--------------------------------

<*> Basel Committee on Banking Supervision, "International Convergence of Capital Measurement and Capital Standards: a Revised Framework - Comprehensive Version", Section V (Operational Risk), paragraph 646, Basel, June 2006.

2. Исходя из этих изменений, Комитет принял решение о необходимости корректировки документа Надлежащая практика 2003 года с учетом совершенствования надлежащей практики управления операционным риском, применяемой в настоящее время в банковской сфере. Настоящий документ, озаглавленный "Принципы надлежащего управления операционным риском и роль надзора", содержит оценку надлежащей практики и подробное описание одиннадцати принципов надлежащего управления операционным риском, относящихся к (1) управлению, (2) условиям управления риском и (3) роли раскрытия информации. В указанном документе Комитет расширяет надлежащую практику управления операционным риском, рекомендованную в 2003 году, включает в нее конкретные принципы управления операционным риском, соответствующие надлежащей бизнес-практике. Эти принципы разрабатывались на основе постоянного обмена мнениями между надзорными органами и банковским сообществом начиная с 2003 года. "Принципы надлежащего управления операционным риском и роль надзора" заменяют документ Надлежащая практика 2003 года <*>.

--------------------------------

<*> Соответственно упоминание о документе Надлежащая практика 2003 года в параграфе 651 Базеля II относится к новому документу 2011 года.

3. Текущая работа Комитета в области операционного риска базируется на "Основах систем внутреннего контроля в банковских учреждениях" (Базельский комитет, сентябрь 1998 года). Кроме того, "Основополагающие принципы эффективного банковского надзора" (Базельский комитет, октябрь 2006 года) и "Методология применения основополагающих принципов" (Комитет, октябрь 2006 года), а также принципы, указанные Комитетом во втором компоненте (процесс надзорного анализа), являются важными вспомогательными материалами, которые должны учитывать банки при разработке политики, процессов и систем управления операционным риском.

4. Надзорные органы и впредь будут рекомендовать банкам "совершенствовать имеющиеся подходы по мере создания более совершенных систем и практик оценки операционного риска" <*>. Несмотря на то что в настоящем документе сформулированы принципы, вытекающие из новой надлежащей бизнес-практики, надзорные органы ожидают, что банки будут постоянно совершенствовать свои подходы к управлению операционным риском. Кроме того, настоящий документ определяет основные элементы системы управления операционным риском банка, являющиеся неотъемлемыми составляющими общей системы управления операционным риском организации.

--------------------------------

<*> Basel Committee on Banking Supervision, "International Convergence of Capital Measurement and Capital Standards: a Revised Framework - Comprehensive Version", Section V (Operational Risk), paragraph 646, Basel, June 2006.

5. По мнению Комитета, изложенные в настоящем документе принципы позволяют всем банкам применять надлежащую практику управления операционным риском. Комитет надеется, что при применении этих принципов банки будут учитывать характер, масштабы, сложность, а также уровень и виды рисков, присущих их деятельности.

Роль надзорных органов

6. В рамках оценки системы управления операционным риском банка надзорные органы прямо или косвенно проводят регулярную независимую оценку политики, процессов и систем банка, связанных с операционным риском. Надзорные органы обеспечивают наличие надлежащих механизмов, позволяющих им получать информацию о развитии банка.

7. Проводимые надзорными органами оценки операционного риска включают все критерии, указанные в принципах управления операционным риском. Кроме того, надзорные органы должны стремиться обеспечить применение в банках, входящих в состав финансовых групп, процессов и процедур, позволяющих осуществлять надлежащее единое управление операционным риском в рамках группы. При проведении указанной оценки необходимо осуществлять сотрудничество и обмен информацией с другими надзорными органами согласно установленным процедурам <*>. Для проведения оценки некоторые надзорные органы могут привлекать внешних аудиторов <**>.

--------------------------------

<*> См. документы Комитета "High-level principles for the cross-border implementation of the New Accord" (Принципы высокого уровня трансграничного применения нового Соглашения), август 2003 года, и "Principles for home-host cooperation and allocation mechanisms in the context of Advanced Measurement Approaches (AMA)" (Принципы применения механизмов сотрудничества и распределения функций между надзорными органами страны происхождения и надзорными органами страны пребывания в контексте Усовершенствованного подхода), ноябрь 2007 года.

<**> Более подробно см. в документе Комитета "The relationship between banking supervisors and bank's external auditors" (Отношения между органами банковского надзора и внешними аудиторами банков), январь 2002 года. К России неприменимо.

8. Недостатки, выявленные надзорными органами, могут устраняться с помощью различных мер. Надзорные органы используют инструменты, наиболее соответствующие ситуации, сложившейся в конкретном банке, и условиям осуществления деятельности конкретного банка. Для получения надзорными органами актуальной информации об операционном риске они могут создавать механизмы представления банками отчетности напрямую и внешними аудиторами (например, обязательное представление надзорным органам внутренних отчетов банков об управлении операционным риском).

9. Надзорные органы продолжают активно содействовать постоянному внутреннему развитию банков путем осуществления контроля и мониторинга деятельности банков и их планов перспективного развития. Подобная информация, собранная в отношении одного банка, может сопоставляться с информацией относительно других банков, что позволяет предоставить банку полезные сведения о качестве проводимой им работы. Кроме того, если установлены причины неэффективности некоторых мер усовершенствования, такая информация может быть полезной и в целях дальнейшего планирования мероприятий по совершенствованию системы управления операционным риском.

Принципы управления операционным риском

10. Операционный риск <*> присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда являлось одной из основополагающих составляющих программы управления рисками банка. Вследствие этого надлежащее управление операционным риском является показателем эффективности управления советом директоров и исполнительным органом портфелем продуктов, направлениями деятельности, процессами и системами. Публикуя настоящий документ, Комитет стремится способствовать повышению эффективности управления операционным риском во всей банковской системе.

--------------------------------

<*> Под операционным риском понимается риск убытков, вызванных неадекватными или неработоспособными внутренними процессами и системами, их нарушением персоналом или в результате воздействия внешних факторов. Данное определение включает юридический риск, но исключает стратегический и репутационный риски.

11. Управление рисками включает в себя процесс выявления рисков, которым подвергается банк, оценки этих рисков (когда это возможно), обеспечения наличия программы планирования и мониторинга капитала, постоянного мониторинга рисков и соответствующих потребностей в капитале, принятия мер по контролю или уменьшению рисков, а также представления отчетности о рисках и состоянии капитала банка совету директоров и исполнительному органу банка. Процедуры внутреннего контроля, как правило, применяются ежедневно в ходе оперативной деятельности банка и призваны по возможности обеспечивать эффективность деятельности банка, надежность, своевременность и полноту полученной информации и соблюдение банком действующих законодательных и нормативных актов. На практике эти два понятия тесно взаимосвязаны и различие между ними имеет меньшее значение, чем достижение целей каждого из них.

12. Эффективное корпоративное управление является основой для создания Системы эффективного управления операционным риском (далее - Система управления). Несмотря на то что вопросы внутреннего контроля, связанные с управлением операционным риском, схожи с вопросами управления кредитным или рыночным риском, проблемы могут отличаться от проблем, относящихся к другим видам риска.

13. Комитет отмечает, что надлежащую практику управления операционным риском применяет все большее количество банков. Общепринятая банковская практика надлежащего управления операционным риском нередко основана на трех направлениях "линиях обороны" - (i) управлении направлениями деятельности, (ii) независимой корпоративной функции управления операционным риском и (iii) независимом анализе <*>. Уровень формализации применения этих трех направлений в каждом случае зависит от особенностей, размеров и сложности организационной структуры банка, а также уровня и видов рисков, присущих его деятельности. Однако во всех случаях подразделение по управлению операционным риском банка должно быть полностью интегрировано в общую систему управления рисками банка.

--------------------------------

<*> Как отмечается в документе Комитета "Operational Risk - Supervisory Guidelines for the Advanced Measurement Approaches" (Операционный риск - надзорные руководящие указания по применению Усовершенствованных подходов к оценке операционного риска), июнь 2011 года, независимый анализ включает следующие составляющие:

Верификация Системы управления проводится периодически, как правило, внутренними и/или внешними аудиторами банка, но в ней могут участвовать и другие независимые внешние стороны, обладающие необходимой квалификацией. Верификация позволяет проверять эффективность всей Системы управления, ее соответствие принципам, одобренным советом директоров, а также процессы подтверждения правильности на предмет обеспечения их независимости и реализации в соответствии с утвержденной политикой банка.

Подтверждение правильности обеспечивает достаточную надежность систем количественной оценки, используемых банком, а также целостность исходных данных, допущений, процессов и полученных результатов. В частности, независимый процесс подтверждения правильности должен обеспечивать твердую уверенность в том, что методика измерения операционного риска позволяет рассчитать капитал на покрытие операционного риска, что достоверно отражает уровень и виды операционного риска банка. В дополнение к количественным аспектам внутреннего подтверждения правильности большое значение для процесса в целом имеет подтверждение правильности исходных данных, методологии и результатов моделей операционного риска.

14. В банковской практике первой "линией обороны" является управление направлениями деятельности (бизнес-линиями). Это означает, что надлежащая практика управления операционным риском исходит из того, что управление по направлениям деятельности помогает выявлять и управлять рисками, присущими определенным банковским продуктам, процессам и системам, относящимся к этим направлениям.

15. Независимая корпоративная функция управления операционным риском (ФУОР) <*>, как правило, является второй "линией обороны", дополняющей меры по управлению направлениями деятельности. Степень независимости ФУОР варьируется в зависимости от размера банка. В небольших банках независимость может достигаться за счет разделения обязанностей и независимого анализа процессов и функций. В более крупных банках ФУОР имеет отдельную независимую от бизнес-подразделений структуру и несет ответственность за разработку, применение и постоянное развитие системы управления операционным риском в банке. В обязанности указанной структуры могут входить оценка риска и отчетности, организация деятельности комитетов по риску и представление отчетности совету директоров. Одной из главных функций ФУОР является проверка исходных данных и результатов работы системы управления рисками по видам деятельности, а также систем оценки риска и отчетности. Для эффективного выполнения функций ФУОР в ее состав должно входить достаточное количество квалифицированных сотрудников по управлению операционным риском.

--------------------------------

<*> Во многих странах независимая корпоративная функция управления операционным риском называется корпоративной функцией управления операционным риском.

16. Третьей "линией обороны" являются независимый анализ и проверка мер по контролю, процессов и систем управления операционным риском банка. Этот анализ должны проводить компетентные и надлежащим образом подготовленные сотрудники, которые не участвуют в разработке и использовании Системы управления. Анализ может проводиться аудитором или сотрудниками банка, независимыми от анализируемого процесса или системы, однако в нем могут участвовать и внешние стороны, обладающие необходимой квалификацией.

17. Если управление операционным риском основано на модели трех линий обороны, то структура и мероприятия этих трех линий обороны нередко варьируются в зависимости от портфеля продуктов, направлений деятельности, процессов и систем, размеров банка и применяемого им подхода к управлению рисками. Развитая культура управления рисками и хорошее взаимодействие между тремя линиями обороны имеют большое значение для обеспечения надлежащего управления операционным риском.

18. Содержание внутреннего аудита должно быть достаточным для объективного подтверждения того, что Система управления реализована как задумано и эффективно функционирует <*>. Если для проведения аудита привлекается сторонняя организация, исполнительный орган должен обеспечить эффективность условий контракта и оценить целесообразность использования стороннего аудитора в качестве третьей линии обороны.

--------------------------------

<*> В документе Комитета "Internal Audit in Banks and the Supervisor's Relationship with Auditors" (Внутренний аудит в банках и взаимодействие надзорного органа с аудиторами), август 2001 года, описана роль внутреннего и внешнего аудита.

19. Внутренний аудит предполагает вынесение заключения об общей эффективности и адекватности Системы управления и сопутствующих процессов управления во всех подразделениях банка. Внутренний аудит должен предусматривать не только проверку соблюдения принципов и процедур, одобренных советом директоров, но и оценку соответствия Системы управления операционным потребностям и надзорным требованиям. В частности, несмотря на то что задачей внутреннего аудита не является определение степени ориентированности на риск или допустимого уровня риска, тем не менее должен осуществляться анализ надежности процесса установления этих параметров, а также причин и способов их корректировки в ответ на изменение ситуации.

20. Поскольку управление операционным риском эволюционирует, а условия коммерческой деятельности постоянно меняются, исполнительный орган должен следить, чтобы принципы, процессы и Системы управления оставались достаточно надежными. Совершенствование управления операционным риском будет зависеть от того, в какой степени учитывается мнение лиц, ответственных за управление операционным риском, а также от готовности исполнительного органа своевременно принимать надлежащие меры на основе этого мнения.

Основные принципы управления операционным риском

Принцип 1: Роль совета директоров в части формирования культуры управления рисками является ключевой. Совет директоров и исполнительный орган <*> должны формировать корпоративную культуру, которая основана на надежном управлении рисками, а также поддерживать и создавать надлежащие стандарты и стимулы ответственного профессионального поведения. В этой связи совет директоров обязан обеспечить наличие развитой культуры управления операционным риском <**> на всех уровнях организации.

--------------------------------

<*> В настоящем документе упоминается система управления, состоящая из совета директоров и исполнительного органа. Комитету известно о наличии существенных различий в законодательной и нормативной базе разных стран в части закрепления обязанностей совета директоров и исполнительного органа. В одних странах совет директоров наделен основными, если не исключительными, функциями надзора за исполнительным органом (исполнительный орган, правление), чтобы обеспечивать выполнение последним возложенных на него обязанностей. Вследствие этого в некоторых случаях он называется наблюдательным советом. Это означает, что совет не выполняет исполнительные функции. В других странах совет имеет более широкий круг полномочий, определяя общую систему управления банком. Ввиду этих различий термины "совет директоров" и "исполнительный орган" употребляются в настоящем документе для обозначения не юридически оформленных структурных компонентов, а скорее двух направлений принятия решений в банке.

<**> Под внутренней культурой управления операционным риском понимается сочетание индивидуальных и общекорпоративных ценностей, установок, компетенций и поведенческих моделей, определяющих отношение компании к управлению операционным риском и стиль этого управления.

Принцип 2: Банки должны создавать, внедрять и использовать Систему управления, полностью интегрированную в общий процесс управления рисками банка. Система управления, выбранная каждым банком, будет зависеть от целого ряда факторов, в том числе от особенностей, размеров и сложности его деятельности, а также от профиля рисков банка.

Управление <*>

--------------------------------

<*> См. также "Principles for enhancing corporate governance" (Принципы совершенствования корпоративного управления), опубликованные Комитетом в октябре 2010 года.

Совет директоров

Принцип 3: Совет директоров должен определить, одобрить и периодически анализировать Систему управления. Совет директоров должен осуществлять контроль над исполнительным органом для обеспечения эффективного применения принципов, процессов и систем на всех уровнях принятия решений.

Принцип 4: Совет директоров должен устанавливать и анализировать риск-аппетит и допустимый уровень операционного риска <*>, а также определять особенности, природу и уровни операционного риска, который готов нести банк.

--------------------------------

<*> Под "ориентированностью на риск" понимается определение руководством того, насколько большой риск готова нести компания с учетом соотношения риска и доходности; нередко используется как перспективный показатель степени допустимого риска. "Допустимый уровень риска" подразумевает более конкретное определение уровня отклонений от бизнес-ориентиров, который готов принять банк и который часто рассматривается как величина риска, который готов нести банк. В настоящем документе эти термины употребляются как синонимы.

Исполнительный орган

Принцип 5: Исполнительный орган должен разработать и представить для одобрения совету директоров четкую, эффективную и надежную управленческую структуру с точно определенными, прозрачными и непротиворечивыми сферами компетенции. Исполнительный орган несет ответственность за последовательное внедрение и применение на всех уровнях организации принципов, процессов и систем управления операционным риском, присущим всем существенным продуктам, направлениям деятельности, процессам и системам банка, в соответствии с риск-аппетитом и допустимым уровнем риска.

Условия управления риском

Выявление и оценка

Принцип 6: Исполнительный орган должен обеспечивать выявление и оценку операционного риска, присущего всем существенным продуктам, направлениям деятельности, процессам и системам, с целью четкого понимания природы этих рисков и стимулов, создающих предпосылки для их (рисков) возникновения.

Принцип 7: Исполнительный орган должен обеспечить наличие процесса одобрения всех новых продуктов, направлений деятельности, процедур и систем, который бы учитывал подверженность операционному риску.

Мониторинг и отчетность

Принцип 8: Исполнительный орган должен организовать процесс регулярного мониторинга уровня и природы операционного риска и вероятности возникновения существенных убытков. На уровне совета директоров, исполнительного органа и на уровне осуществления различных направлений деятельности должны применяться механизмы предоставления отчетности, позволяющие осуществлять упреждающее управление операционным риском.

Контроль и снижение уровня риска

Принцип 9: Банки должны иметь надежные системы контроля над применением принципов, процессов и систем; надлежащий внутренний контроль; а также надлежащие стратегии снижения и/или передачи риска.

Непрерывность и восстановление деятельности

Принцип 10: Банки должны разрабатывать планы обеспечения непрерывности и восстановления деятельности для сохранения возможности непрерывной работы и ограничения убытков в случае возникновения неблагоприятных обстоятельств, способных отрицательно повлиять на деятельность банка.

Роль раскрытия информации

Принцип 11: Информация, публикуемая банком, должна позволять заинтересованным сторонам оценивать его подход к управлению операционным риском.

Основополагающие принципы управления операционным риском

Принцип 1: Роль совета директоров в части формирования культуры управления рисками является ключевой. Совет директоров и исполнительный орган должны формировать корпоративную культуру, которая основана на надежном управлении рисками, а также поддерживать и создавать надлежащие стандарты и стимулы ответственного профессионального поведения. В этой связи совету директоров необходимо убедиться в наличии развитой культуры управления операционным риском на всех уровнях организации.

21. Банки, сформировавшие устойчивую культуру управления риском и этические принципы деловой практики, менее подвержены воздействию событий, являющихся потенциальными источниками операционного риска, и располагают большими возможностями разрешения возникающих ситуаций. Основой надлежащей культуры управления риском являются действия совета директоров и исполнительного органа, а также применяемые банком принципы, процессы и системы.

22. Совет директоров должен утвердить кодекс поведения или этическую политику, устанавливающие ожидаемый уровень добросовестности и моральные ценности, а также определить приемлемую деловую практику и ситуации, требующие предотвращения возникновения конфликтов интересов. Четкое определение ожиданий и подотчетности обеспечивает понимание сотрудниками банка своих ролей и ответственности, а также компетенции. Постоянное и последовательное участие исполнительного органа в управлении рисками и соблюдение моральных стандартов являются убедительным подтверждением кодекса поведения и этической политики, стратегии выплаты вознаграждений и программ профессиональной подготовки. Политика в области выплаты вознаграждений должна быть согласована с установленными банком ориентированностью на риск и допустимым уровнем риска, его долгосрочной стратегией, плановыми финансовыми показателями и общими стандартами безопасности и надежности. Кроме того, она должна обеспечивать надлежащий баланс принятых рисков и выплачиваемых вознаграждений <*>.

--------------------------------

<*> См. также: "Report on the range of methodologies for the risk and performance alignment of remuneration" (Методики корректировок вознаграждений с учетом рисков и результатов деятельности), опубликованный Комитетом в мае 2011 года; "Principles for sound compensation practices" (Принципы надлежащей практики выплаты вознаграждений) Форума по финансовой стабильности, апрель 2009 года; а также "FSB principles for sound compensation practices - implementation standards" (Принципы рациональной политики вознаграждения - стандарты применения) Совета по финансовой стабильности, сентябрь 2009 года.

23. Исполнительный орган должен обеспечить надлежащий уровень профессиональной подготовки служащих в области операционного риска на всех уровнях организации. Проводимая профессиональная подготовка должна учитывать стаж работы, роли и обязанности сотрудников, для которых она предназначена.

Принцип 2: Банки должны создавать, внедрять и использовать Систему управления, полностью интегрированную в общий процесс управления рисками банка. Система управления, выбранная каждым банком, будет зависеть от целого ряда факторов, в том числе от особенностей, размеров и сложности его деятельности, а также от профиля рисков банка.

24. Одной из основных предпосылок надежного управления рисками является понимание советом директоров и исполнительным органом банка природы и сложности рисков, присущих портфелю банковских продуктов, услуг и видов деятельности. Это имеет особое значение в отношении операционного риска, учитывая, что операционный риск присущ всем продуктам, видам деятельности, процессам и системам.

25. Полная интеграция составляющих Системы управления в общие процессы управления рисками банка позволяет лучше понять природу и сложность операционного риска. Система управления должна быть надлежащим образом интегрирована в процессы управления рисками на всех уровнях организации, а также во вновь создаваемые продукты, виды деятельности, процессы и системы. Кроме того, результаты оценки банком операционного риска должны учитываться в процессе разработки общей бизнес-стратегии банка.

26. Система управления должна быть полностью и подробно документирована в форме принципов, одобренных советом директоров, и должна включать определения операционного риска и операционных убытков. Отсутствие у банка надлежащего описания и классификации операционного риска и операционных убытков может привести к значительному снижению эффективности его Системы управления.

27. Документация Системы управления должна:

(а) четко определять управленческую структуру банка, вовлеченную в процесс управления операционным риском, включая порядок подчиненности и отчетности;

(б) содержать описание способов и методов оценки риска;

(в) определять ориентированность на риск и допустимый уровень риска, пределы или лимиты начального риска (присущего деятельности банка) и остаточного риска (по итогам его минимизации), а также одобренные стратегии и методы минимизации риска;

(г) определять подход банка к установлению и мониторингу пределов или лимитов начального риска и остаточного риска;

(д) устанавливать порядок отчетности и Административно-информационную систему (АИС);

(е) предусматривать единую систему используемой терминологии, относящейся к операционному риску, для обеспечения точности при выявлении риска, классификации подверженности риску и определении целей в области управления риском <*>;

--------------------------------

<*> Непоследовательная система использования терминологии, относящейся к операционному риску, повышает вероятность того, что риски не будут выявлены и классифицированы или не будут распределены обязанности по оценке, мониторингу, контролю и снижению рисков.

(ж) предусматривать проведение надлежащего независимого анализа и оценки операционного риска; а также

(з) предусматривать осуществление анализа и соответствующего пересмотра политики управления рисками в случае существенного изменения уровня и видов операционного риска банка.

Управление

Совет директоров

Принцип 3: Совет директоров должен определить, одобрить и периодически анализировать Систему управления. Совет директоров должен осуществлять контроль над исполнительным органом для обеспечения того, чтобы принципы, процессы и системы эффективно применялись на всех уровнях принятия решений.

28. Совет директоров должен:

(а) формировать культуру управления и вспомогательные процессы для понимания характера и величины операционного риска, присущего стратегии и деятельности банка, а также создавать комплексные системы постоянного надзора и контроля, полностью согласованные и/или интегрированные в общую структуру управления всеми рисками банка;

(б) вырабатывать для исполнительных органов управления и менеджеров четкие руководящие указания о принципах, лежащих в основе Системы управления, и утверждать соответствующую политику, которую должен проводить исполнительный орган;

(в) регулярно анализировать Структуру управления для обеспечения того, чтобы банк выявлял и управлял операционным риском, вызванным изменениями рыночной ситуации и другими внешними факторами, а также операционными рисками, связанными с новыми продуктами, видами деятельности, процессами или системами, включая изменения уровня и видов риска и приоритетов (в частности, изменение объема бизнеса);

(г) обеспечивать проведение эффективного независимого анализа Системы управления банка аудитором или другими лицами, имеющими надлежащую подготовку; а также

(д) обеспечивать, чтобы по мере совершенствования наилучшей практики управления операционным риском исполнительный орган применял результаты ее развития <*>.

--------------------------------

<*> См. документ Комитета "International Convergence of Capital Measurement and Capital Standards: a Revised Framework - Comprehensive Version" ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы - Полная версия", "Базель II"), paragraph 718(xci), 2006 год.

29. Надежные правила внутреннего контроля являются одним из важнейших аспектов управления операционным риском, и совет директоров должен точно определять сферы управленческой компетенции и подотчетности для создания надежной системы контроля. Условия осуществления контроля должны обеспечивать независимость (разделение) обязанностей между подразделениями по управлению операционным риском, направлениями бизнес-деятельности и административными подразделениями банка.

Принцип 4: Совет директоров должен устанавливать и анализировать риск-аппетит и допустимый уровень операционного риска, а также определять особенности, природу и уровни операционного риска, который готов нести банк.

30. При установлении и анализе риск-аппетита и допустимого уровня риска совет директоров должен учитывать все существенные риски, допустимый уровень риска, текущее финансовое состояние банка и стратегическое направление развития деятельности банка. Риск-аппетит и допустимый уровень риска должны учитывать аппетит к различным операционным рискам банка и обеспечивать их сопоставимость. Совет директоров должен утверждать соответствующие пределы или лимиты для отдельных операционных рисков, а также общий риск-аппетит и допустимый уровень риска.

31. Совет директоров должен регулярно анализировать (пересматривать) установленные лимиты и общий уровень риск-аппетита и допустимый уровень риска. В процессе анализа (пересмотра) должны учитываться изменения внешних факторов, существенное увеличение объема деловых операций, в том числе по отдельным видам деятельности, качество системы контроля, эффективность стратегий управления риском или снижения риска, объем понесенных убытков, а также частота, масштабы и характер нарушений установленных лимитов. Совет директоров должен контролировать соблюдение исполнительным органом установленного уровня риск-аппетита и допустимого уровня риска и обеспечивать своевременное выявление и устранение нарушений.

Исполнительный орган

Принцип 5: Исполнительный орган должен разработать и представить для одобрения совету директоров четкую, эффективную и надежную управленческую структуру с точно определенными, прозрачными и непротиворечивыми сферами компетенции. Исполнительный орган несет ответственность за последовательное внедрение и применение на всех уровнях организации принципов, процессов и систем управления операционным риском, присущим всем существенным продуктам, направлениям деятельности, процессам и системам банка, в соответствии с риск-аппетитом и допустимым уровнем риска.

32. Исполнительный орган несет ответственность за создание и использование надежных и устойчивых механизмов противодействия и эффективных процессов разрешения проблем, которые должны включать системы отчетности, отслеживания и, если это необходимо, сообщения о возникших проблемах для обеспечения их разрешения. Банки должны быть готовы продемонстрировать, насколько эффективно применяются три вышеупомянутые линии обороны, и объяснить, каким образом совет директоров и исполнительный орган обеспечивают реализацию и применение этого подхода надлежащим и приемлемым образом.

33. Исполнительный орган должен преобразовать Систему эффективного управления операционным риском, утвержденную советом директоров, в конкретные принципы и процедуры, которые могут применяться и использоваться в различных структурных подразделениях. Исполнительный орган должен четко определять полномочия, обязанности и порядок отчетности для поддержания и сохранения надлежащей структуры подотчетности, а также для обеспечения наличия необходимых ресурсов для управления операционным риском в соответствии с риск-аппетитом и допустимым уровнем риска банка. Кроме того, исполнительный орган должен обеспечивать осуществление надзорного процесса в соответствии с рисками, присущими деятельности структурных подразделений.

34. Исполнительный орган должен обеспечить, чтобы служащие, ответственные за управление операционным риском, координировали свою работу и тесно взаимодействовали со служащими, ответственными за управление кредитным, рыночным и другими рисками, а также со служащими банка, ответственными за заключение контрактов на оказание услуг с внешними подрядчиками (страхование рисков, аутсорсинг). Отсутствие координации и взаимодействия может привести к существенным пробелам или недостаткам в общей программе управления рисками банка.

35. Служащие, выполняющие ФУОР, должны обладать в банке достаточно высоким статусом, чтобы эффективно выполнять свои обязанности. В идеальном варианте этот статус должен быть подтвержден должностями, сопоставимыми с должностями служащих, осуществляющих функции по управлению другими рисками, такими как кредитный и рыночный, риск ликвидности.

36. Исполнительный орган должен обеспечивать, чтобы деятельность банка осуществлялась служащими, обладающими необходимым опытом, техническими возможностями и доступом к ресурсам. Служащие, ответственные за мониторинг и обеспечение соблюдения политики организации в области рисков, должны быть независимыми от подразделений, за которыми они осуществляют надзор.

37. Структура управления банка должна соответствовать характеру, масштабам, сложности, а также уровню и видам рисков, присущих его деятельности. При формировании структуры управления операционным риском банк должен принимать во внимание следующее:

(а) Структура комитетов. Наилучшая бизнес-практика для крупных и комплексных организаций, имеющих центральный аппарат (головная организация) и отдельные структурные бизнес-подразделения, заключается в создании советом директоров общего комитета по рискам для надзора за всеми рисками. Этому комитету подчиняется комитет по операционному риску. В зависимости от особенностей, масштабов и сложности деятельности банка общий комитет по рискам может получать информацию от комитетов по операционному риску, созданных в рамках отдельных стран, видов деятельности или функциональных сфер. Менее крупные организации и организации с менее сложной структурой могут использовать более простую организационную структуру, обеспечивающую надзор за операционным риском непосредственно в рамках комитета совета директоров по управлению рисками;

(б) Состав комитетов. Надлежащая бизнес-практика предусматривает включение в состав комитетов по операционному риску (или комитета по рискам в небольших банках) различных членов, обладающих знаниями и опытом в области бизнеса и в области финансовых операций, а также независимого управления рисками. В состав комитетов также могут входить независимые неисполнительные члены совета директоров, причем в некоторых странах данное условие является обязательным требованием; а также

(в) Деятельность комитетов. Заседания комитетов должны проводиться с необходимой периодичностью при наличии достаточного времени и ресурсов, позволяющих обеспечить продуктивное обсуждение и принятие решений. Документация о деятельности комитетов должна быть достаточной для анализа и оценки эффективности их работы.

Условия для эффективного управления риском

Выявление и оценка

Принцип 6: Исполнительный орган должен обеспечивать выявление и оценку операционного риска, присущего всем существенным продуктам, направлениям деятельности, процессам и системам, с целью четкого понимания природы рисков и стимулов, создающих предпосылки для их (рисков) возникновения.

38. Выявление и оценка риска являются основополагающими атрибутами эффективной системы управления операционным риском. Для эффективного выявления рисков необходимо учитывать как внутренние <*>, так и внешние факторы <**>. Надежная оценка риска позволяет банку лучше понимать уровень и виды его рисков и более эффективно распределять управленческие ресурсы и определять стратегии.

--------------------------------

<*> В частности, организационную структуру банка, характер деятельности банка, качество его кадровых ресурсов, организационные изменения и текучесть кадров.

<**> В частности, изменения общих условий для осуществления деятельности в отрасли и внедрение технологических нововведений.

39. К примерам методов, которые могут использоваться для выявления и оценки операционного риска, относятся:

(а) Аудиторские заключения. Несмотря на то что аудиторские заключения основное внимание уделяют недостаткам и пробелам системы контроля, они могут давать представление о начальном и остаточном уровнях риска, вызванного внешними или внутренними факторами;

(б) Сбор и анализ данных об убытках кредитной организации. Данные об операционных убытках представляют собой важную информацию для оценки подверженности банка операционному риску и эффективности внутреннего контроля. Анализ случаев возникновения убытков может дать представление о причинах крупных убытков и информацию о том, являются ли сбои в системе контроля эпизодическими или системными <*>. Кроме того, для банков будет полезно фиксировать и отслеживать роль операционного риска в убытках, вызванных кредитным и рыночным рисками, с целью получения более полного представления об операционном риске, которому они подвергаются;

--------------------------------

<*> Классификация внутренних данных об убытках, особенно в крупных банках, по Уровню 1 и типам случаев возникновения убытков, приведенная в Приложениях 8 и 9 документа Базель II, может упростить сопоставление с внешними данными об убытках.

(в) Сбор и анализ внешних данных. В состав внешних данных входят суммарные операционные убытки, сроки, данные о покрытии убытков, а также соответствующая эпизодическая информация о случаях возникновения убытков в других организациях. Внешние данные об убытках могут сопоставляться с внутренними данными об убытках, использоваться для выявления потенциальных недостатков в системе контроля или рисков, не выявленных ранее;

(г) Оценка риска. В процессе оценки риска, которую часто называют Самооценкой риска (СОР), банк оценивает процессы, лежащие в основе его операций, путем сопоставления с перечнем потенциальных угроз и трудностей и рассматривает их потенциальные последствия. Подобный подход используется в процессе Самооценки контроля над рисками (СОКР), в рамках которого, как правило, оцениваются внутренний риск, присущий деятельности банка (риск до учета средств контроля), эффективность системы контроля и остаточный риск (риск после учета средств контроля). Система показателей, основанная на СОКР и учитывающая остаточные риски, направлена на использование результатов СОКР для построения параметров оценки контрольной среды;

(д) Классификация бизнес-процессов. В рамках классификации бизнес-процессов определяются основные этапы бизнес-процессов, виды деятельности и организационные функции. Кроме того, определяются ключевые моменты возникновения риска в общей деятельности банка. Классификация способствует выявлению отдельных рисков, взаимозависимостей между рисками и недостатков контроля или управления рисками. Она также помогает определить очередность последующих управленческих мер;

(е) Индикаторы уровня рисков и показатели эффективности. Индикаторы уровня рисков и показатели эффективности представляют собой значения (величины) и/или статистические данные, дающие представление о рисках, которым подвержен банк. Индикаторы уровня риска, которые нередко называют Ключевыми индикаторами уровня риска (КИУР), используются для контроля основных факторов, связанных с возникновением наиболее значимых рисков. Показатели эффективности, которые часто называют Ключевыми показателями эффективности (КПЭ), позволяют понять состояние операционных процессов, что, в свою очередь, обеспечивает выявление недостатков, сбоев и потенциальных убытков. Индикаторы уровня рисков и показатели эффективности часто используются с эскалационными показателями (показателями обострения, увеличения масштабов) для того, чтобы предупредить момент, когда уровень риска приблизится или станет выше пределов или лимитов, и помочь в подготовке планов по снижению уровня риска;

(ж) Сценарный анализ. Сценарный анализ представляет собой процесс получения экспертного заключения руководителей по направлениям деятельности и риск менеджеров для выявления потенциальных случаев возникновения операционного риска и оценки их возможных последствий. Сценарный анализ является эффективным средством изучения потенциальных источников существенного операционного риска и потребности в дополнительных средствах контроля или снижения риска. Учитывая субъективность процесса сценарного анализа, для обеспечения его непротиворечивости и последовательности необходима надежная система управления;

(з) Измерение риска. Крупным банкам представляется целесообразным применять для целей количественной оценки подверженности операционному риску результаты использования методов оценки риска в качестве исходных данных для модели оценки подверженности операционному риску. Результаты применения модели могут использоваться в процессе определения экономического капитала, а также распределяться по направлениям деятельности для сопоставления риска и доходности;

(и) Сравнительный анализ. Сравнительный анализ включает сравнение результатов применения различных методов оценки для получения более полного представления об уровне и видах операционного риска банка. В частности, сопоставление периодичности предоставления внутренних данных и их существенности с СОКР помогает банку определить, насколько эффективны процессы самооценки. Данные сценариев могут сравниваться с внутренними и внешними данными для более полного понимания того, насколько банк потенциально подвержен риску.

40. Банк должен обеспечить, чтобы внутренние механизмы ценообразования и измерения показателей надлежащим образом учитывали операционный риск. Если операционный риск не учитывается, действия, связанные с принятием риска, могут быть не согласованы с риск-аппетитом и допустимым уровнем риска.

Принцип 7: Исполнительный орган должен обеспечить наличие процесса одобрения всех новых продуктов, направлений деятельности, процедур и систем, который бы учитывал подверженность операционному риску.

41. Как правило, операционный риск банка увеличивается, когда банк осуществляет новые виды деятельности или разрабатывает новые продукты, выходит на незнакомые рынки, внедряет новые бизнес-процессы или технологические системы и/или осуществляет деятельность на расстоянии от головной организации. Кроме того, уровень риска может повышаться, когда осуществляется переход от начальной стадии использования новых продуктов, видов деятельности, процессов или систем на уровень возникновения существенных источников дохода или критических для бизнеса операций. Банк должен обеспечивать, чтобы инфраструктура управления риском соответствовала новшествам и не отставала от темпов роста или изменений продуктов, видов деятельности, процессов и систем.

42. Банк должен иметь принципы и процедуры, предусматривающие анализ и одобрение новых продуктов, видов деятельности, процессов и систем. В процессе анализа и одобрения должны учитываться:

(а) внутренние риски нового продукта, услуги или вида деятельности;

(б) изменения уровня и видов операционного риска банка, а также его ориентированности на риск и допустимого уровня риска, включая и риск, присущий используемым продуктам и видам деятельности;

(в) необходимые средства контроля, процессы управления риском и стратегии снижения риска;

(г) остаточный риск;

(д) изменения соответствующих пределов или лимитов риска; а также

(е) процедуры и значения (величины), используемые для измерения, контроля и управления риском, присущим новому продукту или виду деятельности.

Кроме того, процесс одобрения должен обеспечивать надлежащие инвестиции в кадровые и технические ресурсы до того, как новые продукты будут представлены на рынок. Внедрение новых продуктов, видов деятельности, процессов и систем должно контролироваться с целью выявления существенных отличий в уровне и видах операционного риска от ожидаемых, а также для управления всеми непредвиденными рисками.

Мониторинг и отчетность

Принцип 8: Исполнительный орган должен организовать процесс регулярного мониторинга уровня и природы операционного риска и вероятности возникновения существенных убытков. На уровне совета директоров, исполнительного органа и на уровне осуществления различных направлений деятельности должны применяться механизмы представления отчетности, позволяющие осуществлять упреждающее управление операционным риском.

43. Банкам рекомендуется постоянно повышать качество отчетности об операционном риске. Их отчеты должны быть полными, точными, последовательными и должны содержать предложения по принятию мер в отношении любых направлений деятельности и продуктов. Содержание и объем отчетов может варьироваться, поскольку избыточность и недостаточность данных в равной мере препятствуют эффективному принятию решений.

44. Отчетность должна быть своевременной, и банк должен иметь возможность подготовить отчеты как в нормальной ситуации, так и в условиях стресса на рынке. Периодичность отчетности должна отражать степень подверженности банка рискам, а также темпы и характер изменений в его деятельности. В регулярные отчеты для исполнительного органа и совета директоров следует включать результаты мониторинга, а также оценки Системы управления, проведенные подразделениями внутреннего аудита и/или управления риском. Отчеты, подготовленные надзорными органами (и/или для надзорных органов), должны доводиться до сведения исполнительного органа и совета директоров, когда это необходимо.

45. Отчеты об операционном риске могут содержать внутренние финансовые и операционные показатели, показатели соблюдения действующих правил, а также внешнюю информацию, в том числе о рынке и о событиях и условиях, существенных для принятия решений. Отчеты об операционном риске должны включать:

(а) информацию о нарушениях установленного риск-аппетита и допустимого уровня риска, а также пределов или лимитов, установленных банком;

(б) сведения о последних существенных случаях внутреннего возникновения операционного риска и убытков;

(в) сведения о существенных внешних событиях и их потенциальных последствиях для банка и капитала, предназначенного для покрытия операционного риска.

46. Процессы фиксирования данных и подготовки отчетов о риске должны периодически подвергаться проверке с целью постоянного совершенствования управления риском и дальнейшего развития принципов, процедур и процессов управления риском.

Контроль и снижение уровня риска

Принцип 9: Банки должны иметь надежные системы контроля над применением принципов, процессов и систем; надлежащий внутренний контроль; а также надлежащие стратегии снижения и/или передачи риска.

47. Средства внутреннего контроля должны обеспечивать обоснованную уверенность в том, что банк будет осуществлять эффективные операции, защищать свои активы, представлять достоверную финансовую отчетность и соблюдать действующие законодательные и нормативные акты. Рациональная программа внутреннего контроля содержит пять составляющих, неотъемлемых от процесса управления риском: условия для осуществления контроля, оценку риска, мероприятия по контролю, обмен информацией и взаимодействие, а также мониторинг деятельности <*>.

--------------------------------

<*> В документе Комитета "Framework for Internal Control Systems in Banking Organisations" (Основы систем внутреннего контроля в банковских учреждениях), опубликованном в сентябре 1998 года, проблемы внутреннего контроля рассмотрены более подробно.

48. Процессы и процедуры контроля должны включать систему соблюдения политик. Примерами основных элементов оценки соблюдения являются:

(а) анализ достижения поставленных целей исполнительным органом;

(б) проверка соблюдения административного контроля;

(в) анализ мер и решений, принимаемых в случае несоблюдения;

(г) оценка разрешений и согласований, необходимых для обеспечения отчетности перед руководством соответствующего уровня; а также

(д) отчетность о разрешенных исключениях из пределов или лимитов, коррективах со стороны руководства и других отклонениях от утвержденной политики.

49. Кроме того, для создания эффективного контроля необходимо надлежащее распределение обязанностей. Задания (поручения), которые предусматривают конфликт или противоречие обязанностей отдельных сотрудников или команды, без усиленного контроля над их выполнением (или других профилактических мер) могут способствовать сокрытию убытков, ошибок или другим ненадлежащим действиям. В связи с этим области потенциального возникновения конфликта интересов должны выявляться, сводиться к минимуму и подвергаться тщательным и независимым мониторингу и анализу.

50. В дополнение к распределению обязанностей и усиленному контролю банки должны обеспечивать применение других традиционных способов внутреннего контроля для решения проблемы операционного риска. К примерам таких способов относятся:

(а) четко определенные полномочия и/или процедуры одобрения;

(б) тщательный мониторинг соблюдения установленных пределов или лимитов риска;

(в) защита доступа к банковским активам и документации и их использование;

(г) обеспечение наличия необходимого количества сотрудников и постоянное повышение их квалификации;

(д) постоянные процессы выявления направлений деятельности или продуктов, доходность которых отличается от ожидаемой <*>;

--------------------------------

<*> В частности, в том случае, когда сделки на марже, сопряженные с низким риском, имеют высокую доходность, которая может вызвать вопрос о том, не достигнута ли эта доходность за счет нарушения внутреннего контроля.

(е) регулярное проведение проверок и выверка операций и счетов; а также

(ж) политика предоставления отпусков, обеспечивающая отсутствие должностных лиц и сотрудников на рабочих местах не менее двух недель подряд.

51. Эффективное использование и должное применение технологий может способствовать созданию надлежащих условий контроля. В частности, автоматизированные процессы менее подвержены ошибкам, чем процессы, выполняемые вручную. При этом автоматизированные процессы выявляют риски, для которых используются программы технического управления и инфраструктурные программы управления риском.

52. Использование базирующихся на технологии продуктов, видов деятельности и процессов подвергает банк стратегическому, операционному и репутационному рискам и создает возможность возникновения значительных финансовых убытков. Вследствие этого банк должен применять комплексный подход к выявлению, оценке, мониторингу и управлению технологическими рисками <*>. Рациональное управление технологическим риском основано на тех же правилах, что и управление операционным риском, и включает:

--------------------------------

<*> См. также документы Комитета "Risks in Computer and Telecommunication System" (Риски компьютерных систем и систем телекоммуникаций), июль 1989 года, и "Risk Management Principles for Electronic Banking" (Принципы управления риском, возникающим при осуществлении электронных банковских операций), май 2001 года.

(а) руководство и надзор, обеспечивающие согласование технологии, в том числе предоставляемой по контрактам со сторонними подрядчиками, с бизнес-целями банка;

(б) политики и процедуры, упрощающие выявление и оценку риска;

(в) определение ориентированности на риск и допустимого уровня риска, а также плановых показателей, позволяющих контролировать и управлять риском;

(г) создание эффективных условий контроля и применение стратегий передачи рисков, благодаря которым снижается риск; а также

(д) процессы мониторинга, позволяющие проверять соблюдение установленных пределов или лимитов.

53. Исполнительный орган должен обеспечить наличие в банке надежной технологической инфраструктуры <*>, соответствующей краткосрочным и долгосрочным потребностям, путем обеспечения нормального функционирования, а также функционирования в пиковые периоды стресса на рынке; обеспечивающей надежность, безопасность и возможность использования данных и систем; поддерживающей интегрированное и комплексное управление риском. Слияния и поглощения, приводящие к дроблению инфраструктуры, меры по сокращению затрат или недостаточные капиталовложения могут подрывать способность банка собирать и анализировать информацию о параметрах риска или, для консолидированной группы, способность управлять и отчитываться о рисках по направлениям деятельности или организациям, а также осуществлять надзор за рисками и управление ими в периоды быстрого роста. Исполнительный орган должен обеспечивать надлежащие капиталовложения или постоянное наличие надежной инфраструктуры, особенно в периоды осуществления слияний, начала реализации стратегии быстрого роста или введения новых продуктов.

--------------------------------

<*> Под технологической инфраструктурой понимаются физическая и логическая схемы информационных систем и систем связи, отдельные компоненты аппаратного и программного обеспечения, данные и операционная среда.

54. Привлечение внешнего подрядчика <*> означает поручение третьей стороне - аффилированной с группой или неаффилированной сторонней организации - осуществления деятельности в интересах банка. Внешним подрядчикам могут быть поручены как выполнение отдельных операций, так и осуществление бизнес-процессов. Несмотря на то что привлечение внешнего подрядчика позволяет управлять затратами, получать консультационные услуги, расширять объемы предлагаемых продуктов и повышать качество услуг, оно приводит к возникновению рисков, которые должны учитываться исполнительным органом. Совет директоров и исполнительный орган обязаны понимать операционные риски, связанные с привлечением внешних подрядчиков, и обеспечивать наличие эффективных принципов и практик управления риском, возникающим в результате привлечения внешних подрядчиков. Мероприятия по привлечению внешних подрядчиков и управлению таким риском должны включать:

--------------------------------

<*> См. также документ Совместного форума "Outsourcing in Financial Services" (Привлечение внешних подрядчиков при оказании финансовых услуг), опубликованный в феврале 2005 года.

(а) процедуры определения того, какие функции могут передаваться на аутсорсинг и каким образом;

(б) процессы осуществления проверки благонадежности финансового состояния компании при выборе потенциальных контрагентов;

(в) надежные принципы заключения контрактов с внешними подрядчиками, учитывающие структуру их собственности, условий конфиденциальности и предусматривающие права на расторжение контрактов;

(г) программы управления и мониторинга рисков, связанных с заключением таких контрактов, учитывающие финансовое положение источника услуг;

(д) создание условий для осуществления эффективного контроля в банке и в организации, оказывающей услуги;

(е) разработку эффективных планов на случай возникновения непредвиденных обстоятельств;

(ж) выполнение комплексных контрактов и/или договоров об оказании услуг с четким распределением обязанностей между организацией, оказывающей услуги, и банком.

55. В тех случаях, когда система внутреннего контроля не справляется с риском, а избавление от риска не является разумным вариантом, исполнительный орган может в дополнение к контролю организовать передачу риска другой стороне, например по договору страхования. Совет директоров должен определить, какие максимальные убытки банк готов и финансово способен принять, и ежегодно проводить анализ программы управления риском и страхования банка. Хотя конкретные потребности в страховании или передаче риска должны определяться на индивидуальной основе, во многих странах установлены нормативные требования, которые необходимо учитывать <*>.

--------------------------------

<*> См. также документ Комитета "Recognising the risk-mitigating impact of insurance in operational risk modelling" (Учет снижения риска за счет страхования при моделировании операционного риска), октябрь 2010 года.

56. Поскольку передача риска не обеспечивает полной замены надежных программ контроля и управления риском, банки должны рассматривать инструменты передачи риска как дополнение к внутреннему контролю над операционным риском, а не в качестве его замены. Наличие механизмов быстрого выявления, признания и исправления ошибок в управлении операционным риском может существенно снижать риск. Кроме того, необходимо учитывать, в какой степени инструменты снижения риска, такие как страхование, действительно уменьшают риск, передают риск или же создают новый риск (например, риск контрагента).

Непрерывность и восстановление деятельности

Принцип 10: Банки должны разрабатывать планы обеспечения непрерывности и восстановления деятельности для сохранения возможности непрерывной работы и ограничения убытков в случае возникновения неблагоприятных обстоятельств, способных отрицательно повлиять на деятельность банка <*>.

--------------------------------

<*> Принципы обеспечения непрерывности деятельности более подробно рассмотрены в документе Комитета "High-level principles for business continuity" (Руководящие принципы обеспечения непрерывности деятельности), август 2006 года.

57. Банки подвержены воздействию событий, нарушающих деловую активность, которые подчас могут являться серьезными и приводить к неспособности выполнения банками всех или части своих обязательств. Происшествия, в результате которых наносится вред или становятся недоступными оборудование, телекоммуникации или информационная инфраструктура банка, или заболевания, влияющие на кадровые ресурсы, могут приводить к значительным финансовым убыткам банка, а также к глобальным нарушениям в финансовой системе. Для обеспечения устойчивости к этому риску банк должен разрабатывать планы на случай возникновения непредвиденных обстоятельств, соответствующие характеру, масштабам и сложности операций банка. Такие планы должны учитывать различные виды вероятных или правдоподобных сценариев, которым может быть подвержен банк.

58. Управление непрерывностью деятельности должно включать анализ коммерческих последствий, стратегии восстановления, программы тестирования, профессиональной подготовки и обеспечения информированности, а также программы взаимодействия и антикризисного управления. Банк должен выявлять критические бизнес-операции <*>, ключевые внутренние и внешние зависимости <**> и соответствующие уровни устойчивости. Должна проводиться оценка финансовых, операционных и репутационных последствий по возможным сценариям нарушения деловой активности, и полученная по результатам оценка риска должна являться основой для определения приоритетов и задач. Планы обеспечения непрерывности деятельности должны определять стратегии поведения в случае нарушений, процедуры восстановления и возобновления деятельности и планы по взаимодействию, обеспечивающие предоставление информации исполнительному органу, сотрудникам, надзорному органу, клиентам, контрагентам, а при необходимости и государственным органам.

--------------------------------

<*> Бизнес-операции банка включают средства, кадры и процессы предоставления продуктов и оказания услуг или осуществления основных видов деятельности, а также технологические системы и данные.

<**> Внешние зависимости включают связи со вспомогательными организациями, контрагентами, а также организациями, оказывающими сторонние услуги.

59. Банк должен периодически анализировать свои планы обеспечения непрерывности деятельности для того, чтобы стратегии поведения в случае нарушений были согласованы с его текущими операциями, рисками и угрозами, требованиями к устойчивости и приоритетами восстановления. При этом должны проводиться программы профессиональной подготовки и обеспечения информированности, чтобы сотрудники банка могли эффективно выполнять планы обеспечения непрерывности и восстановления деятельности. Планы должны периодически подвергаться тестированию для обеспечения достижения целей восстановления и возобновления деятельности. По возможности банки должны участвовать в стресс-тестировании совместно с основными контрагентами. Результаты официального тестирования должны доводиться до сведения исполнительного органа и совета директоров.

Роль раскрытия информации

Принцип 11: Информация, публикуемая банком, должна позволять заинтересованным сторонам оценивать его подход к управлению операционным риском.

60. Обнародование банком информации об управлении операционным риском может обеспечивать прозрачность и формирование более совершенной отраслевой практики за счет рыночной дисциплины. Объем и вид раскрываемой информации должны быть соразмерны масштабам, уровню и видам рисков, а также сложности операций банка и учитывать развитие отраслевой практики.

61. Банк должен обнародовать свою структуру управления операционным риском таким образом, чтобы заинтересованные стороны могли определить, насколько эффективно банк выявляет и оценивает риски, осуществляет мониторинг и контролирует (снижает) риски.

62. Раскрываемая банком информация должна соответствовать тому, как исполнительный орган и совет директоров оценивают операционный риск и управляют им <*>.

--------------------------------

<*> Basel Committee on Banking Supervision, "International Convergence of Capital Measurement and Capital Standards: a Revised Framework - Comprehensive Version" ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы - Полная версия", "Базель II"), Section V (Operational Risk), paragraph 646, Basel, June 2006, paragraph 810.

63. Банк должен определить официальную процедуру раскрытия информации, одобренную советом директоров, в том числе подход банка к тому, какую информацию об операционном риске он будет предоставлять, а также внутреннему контролю над процессом предоставления информации. Кроме того, банки должны осуществлять оценку целесообразности раскрытия информации, включая верификацию и периодичность <*>.

--------------------------------

<*> Там же, paragraph 821.

Другие документы по теме
"Об установлении Рублевых эквивалентов показателей, предусмотренных Указанием Банка России от 01.12.2003 N 1346-У"
"Об особенностях проведения ветеринарного надзора в воздушных или морских (речных) пунктах пропуска" (вместе с "Рекомендациями по проведению ветеринарного надзора в воздушных или морских (речных) пунктах пропуска через государственную границу Российской Федерации")
"О рекламе дистанционной продажи БАДов"
"О регистрации предельных отпускных цен производителей на ЖНВЛС"
Ошибка на сайте