<Письмо> Банка России от 24.05.2005 N 76-Т
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 24 мая 2005 г. N 76-Т
ОБ ОРГАНИЗАЦИИ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ
РИСКОМ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ
В соответствии с Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным в Министерстве юстиции Российской Федерации 27 января 2004 года N 5489 ("Вестник Банка России" от 4 февраля 2004 года N 7), одной из целей внутреннего контроля является обеспечение эффективного управления банковскими рисками.
Банком России разработаны и направляются для использования в практике банковского надзора рекомендации по организации управления операционным риском в кредитных организациях.
Доведите рекомендации до сведения кредитных организаций.
Первый заместитель Председателя
Центрального банка
Российской Федерации
А.А.КОЗЛОВ
Приложение
к письму Банка России
от 24 мая 2005 г. N 76-Т
"Об организации управления
операционным риском
в кредитных организациях"
РЕКОМЕНДАЦИИ
ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ РИСКОМ
В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ
1. Общие положения
1.1. Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.
1.2. Внутренними и внешними факторами (причинами) операционного риска являются:
случайные или преднамеренные действия физических и (или) юридических лиц, направленные против интересов кредитной организации;
несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля;
сбои в функционировании систем и оборудования;
неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации.
1.3. Случаи операционных убытков, возникающих в результате различного сочетания факторов операционного риска, рекомендуется классифицировать на случаи убытков вследствие:
злоупотреблений или противоправных действий, осуществляемых служащими или с участием служащих кредитной организации (например, хищение, злоупотребление служебным положением, преднамеренное сокрытие фактов совершения банковских операций и других сделок, несанкционированное использование информационных систем и ресурсов);
противоправных действий сторонних по отношению к кредитной организации (третьих) лиц (например, подлог и (или) подделка платежных и иных документов, несанкционированное проникновение в информационные системы);
нарушений кредитной организацией или служащими трудового законодательства (например, нарушение условий трудового договора, причинение вреда здоровью служащих);
нарушений иного законодательства (в том числе банковского, антимонопольного, по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма); неисполнения или ненадлежащего исполнения возникающих из договоров обязательств, связанных с основной деятельностью, перед клиентами, контрагентами и (или) иными третьими лицами; нарушений обычаев делового оборота (например, ненадлежащее использование конфиденциальной информации, навязывание услуг, сговор по ценам);
повреждения или утраты основных средств и других материальных активов (в результате актов терроризма, стихийных бедствий, пожара);
выхода из строя оборудования и систем (например, сбой (отказ) в работе автоматизированной банковской системы, систем связи, поломка оборудования);
ненадлежащей организации деятельности, ошибок управления и исполнения (например, в результате неадекватной организации внутренних процессов и процедур, отсутствия (несовершенства) системы защиты и (или) порядка доступа к информации, неправильной организации информационных потоков внутри кредитной организации, невыполнения обязательств перед кредитной организацией поставщиками услуг (исполнителями работ), ошибок при вводе и обработке данных по операциям и сделкам, утери документов и так далее).
1.4. Операционные убытки могут быть в виде:
снижения стоимости активов;
досрочного списания (выбытия) материальных активов;
денежных выплат на основании постановлений (решений) судов, решений органов, уполномоченных в соответствии с законодательством Российской Федерации;
денежных выплат клиентам и контрагентам, а также служащим кредитной организации в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине кредитной организации;
затрат на восстановление хозяйственной деятельности и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств;
прочих убытков.
1.5. Управление операционным риском входит в систему управления рисками кредитной организации.
1.6. Необходимость управления операционным риском определяется значительным размером возможных операционных убытков, которые могут создавать угрозу финансовой устойчивости кредитной организации.
2. Организационные основы
управления операционным риском
2.1. Кредитной организации рекомендуется разработать основные принципы управления операционным риском, определяющие:
цели и задачи управления операционным риском с учетом приоритетных направлений деятельности кредитной организации;
основные методы выявления, оценки, мониторинга (постоянного наблюдения) операционного риска;
основные методы контроля и (или) минимизации операционного риска (принятие мер по поддержанию риска на уровне, не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной организации);
порядок представления отчетности и обмена информацией по вопросам управления операционным риском;
распределение полномочий и ответственности между советом директоров (наблюдательным советом) и исполнительными органами за реализацию основных принципов управления операционным риском.
Степень детализации основных принципов управления операционным риском зависит от уровня операционного риска, которому подвергается кредитная организация.
2.2. Основные принципы управления операционным риском рекомендуется реализовывать во внутренних документах кредитной организации, определяющих:
организационную структуру кредитной организации, разделение и делегирование полномочий, функциональные обязанности, порядок взаимодействия подразделений, служащих и обмена информацией;
порядок, правила, процедуры совершения банковских операций и других сделок, учетную политику, организацию внутренних процессов;
правила, порядки и процедуры функционирования систем (технических, информационных и других);
порядок разработки и представления отчетности и иной информации;
порядок стимулирования служащих и другие вопросы.
При изменении, разработке и принятии новых внутренних документов кредитной организации необходимо проводить оценку их соответствия основным принципам управления операционным риском.
2.3. В целях создания условий для эффективного управления операционным риском кредитной организации рекомендуется учредительными и (или) внутренними документами отнести к компетенции совета директоров (наблюдательного совета) следующие вопросы:
утверждение основных принципов управления операционным риском;
создание организационной структуры кредитной организации, соответствующей основным принципам управления операционным риском;
осуществление контроля за полнотой и периодичностью проверок службой внутреннего контроля соблюдения основных принципов управления операционным риском отдельными подразделениями и кредитной организацией в целом;
утверждение мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности);
оценка эффективности управления операционным риском;
контроль за деятельностью исполнительных органов кредитной организации по управлению операционным риском.
2.4. Учредительными и (или) внутренними документами к компетенции исполнительных органов рекомендуется отнести следующие вопросы:
обеспечение принятия внутренних документов, определяющих правила и процедуры управления операционным риском, в целях соблюдения основных принципов управления операционным риском, утвержденным советом директоров (наблюдательным советом);
распределение полномочий и ответственности по управлению операционным риском между руководителями подразделений различных уровней, обеспечение их необходимыми ресурсами, установление порядка взаимодействия и представления отчетности.
2.5. С учетом характера и масштабов деятельности, а также в целях концентрации ресурсов и усилий по управлению операционным риском кредитной организации рекомендуется оценить целесообразность создания подразделения (назначения служащего), отвечающего за координацию и централизацию управления операционным риском (далее - подразделение (служащий) по управлению операционным риском). В случае принятия решения о создании подразделения (назначении служащего) по управлению операционным риском рекомендуется во внутренних документах определить его полномочия, порядок взаимодействия с подразделениями, осуществляющими банковские операции и другие сделки и отвечающими за управление другими банковскими рисками (кредитным, рыночным и т.д.), а также со службой внутреннего контроля. На указанное подразделение (служащего) рекомендуется возложить разработку и (или) апробацию методик оценки и проведение оценки операционного риска, разработку и внедрение мер, процедур, механизмов и технологий по ограничению и (или) снижению операционного риска.
2.6. Кредитной организации рекомендуется проводить работу по формированию у служащих знаний об операционном риске, который может возникать в связи с выполнением ими должностных обязанностей, а также мотивации на выявление факторов (причин) операционного риска.
3. Управление операционным риском
3.1. Управление операционным риском состоит из выявления, оценки, мониторинга, контроля и (или) минимизации операционного риска.
3.2. Выявление операционного риска предполагает анализ всех условий функционирования кредитной организации на предмет наличия или возможности возникновения факторов операционного риска (пункт 1.2 настоящих Рекомендаций), который рекомендуется проводить на нескольких уровнях:
анализ изменений в финансовой сфере в целом (например, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности кредитной организации;
анализ подверженности операционному риску направлений деятельности <*> с учетом приоритетов кредитной организации (составление так называемого "риск-профиля" банка);
--------------------------------
<*> Под направлением деятельности кредитной организации в целях настоящих Рекомендаций понимается относительно автономный компонент деятельности, выделяемый по признаку: категории клиентов, либо однородности банковских операций и других сделок, либо общности технологических процессов.
анализ отдельных банковских операций и других сделок;
анализ внутренних процедур (пункт 2.2 настоящих Рекомендаций), включая систему отчетности и обмена информацией.
3.3. На этапе выявления операционного риска особое внимание необходимо обращать на случаи пересечения полномочий и ответственности подразделений, служащих кредитной организации.
3.4. Все нововведения, производимые кредитной организацией, - изменения структуры или процедур, внедрение новых услуг и технологий (в том числе с использованием аутсорсинга - привлечения специализированной сторонней организации (поставщика услуг) для выполнения отдельных видов работ), освоение новых направлений деятельности - рекомендуется на этапе разработки подвергать тщательному анализу с целью выявления факторов операционного риска.
3.5. В целях обеспечения условий для эффективного выявления операционного риска, а также его оценки рекомендуется создать и вести аналитическую базу данных о понесенных операционных убытках, в которой отражать сведения об их видах и размерах в разрезе направлений деятельности, отдельных банковских операций и других сделок, обстоятельств их возникновения и выявления.
Для обеспечения унификации подходов и сопоставимости данных может быть использована классификация случаев операционных убытков (пункт 1.3 настоящих Рекомендаций), а также классификация направлений деятельности кредитной организации, которая приведена в приложении к настоящим Рекомендациям.
Порядок ведения аналитической базы данных о понесенных операционных убытках, форму представления и требования к содержанию вводимой информации рекомендуется установить во внутренних документах кредитной организации.
3.6. Кредитным организациям рекомендуется наряду с ведением аналитической базы данных о понесенных операционных убытках на постоянной основе с использованием различных источников собирать и анализировать информацию о случаях операционных убытков в других кредитных и финансовых организациях.
3.7. Оценка операционного риска предполагает оценку вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и оценку размера потенциальных убытков.
3.8. Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы:
статистический анализ распределения фактических убытков;
балльно-весовой метод (метод оценочных карт);
моделирование (сценарный анализ).
3.8.1. Методы, основанные на применении статистического анализа распределения фактических убытков, позволяют сделать прогноз потенциальных операционных убытков исходя из размеров операционных убытков, имевших место в данной кредитной организации в прошлом. При применении этих методов в качестве исходных данных рекомендуется использовать информацию, накопленную в аналитической базе данных о понесенных операционных убытках.
3.8.2. Сущность балльно-весового метода заключается в оценке операционного риска в сопоставлении с мерами по его минимизации.
На основе экспертного анализа выбираются информативные для целей управления операционным риском показатели и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются в разрезе направлений деятельности кредитной организации, отдельных видов банковских операций и других сделок.
Применение балльно-весового метода (метода оценочных карт) наряду с оценкой операционного риска позволяет выявить слабые и сильные стороны в управлении операционным риском.
3.8.3. В рамках метода моделирования (сценарного анализа) на основе экспертного анализа для направлений деятельности кредитной организации, отдельных видов банковских операций и других сделок определяются возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам, и разрабатывается модель распределения частоты возникновения и размеров убытков, которая затем используется для оценки операционного риска.
3.9. Кредитным организациям рекомендуется регулярно производить оценку операционного риска в целом по кредитной организации и его распределения в разрезе направлений деятельности кредитной организации, внутренних процессов, информационно-технологических систем и банковских продуктов, составляющих эти направления деятельности.
Периодичность проведения оценки операционного риска рекомендуется определять во внутренних документах кредитной организации.
3.10. В целях предупреждения возможности повышения уровня операционного риска рекомендуется проводить мониторинг операционного риска.
3.11. Мониторинг операционного риска рекомендуется осуществлять путем регулярного изучения системы показателей (в том числе статистических, финансовых) деятельности кредитной организации.
Кредитной организации рекомендуется определять периодичность осуществления мониторинга операционного риска на основе его существенности для соответствующего направления деятельности, внутреннего процесса или информационно-технологической системы.
3.12. В целях мониторинга операционного риска рекомендуется создание системы индикаторов уровня операционного риска -показателей или параметров, которые теоретически или эмпирически связаны с уровнем операционного риска, принимаемого кредитной организацией.
В качестве индикаторов уровня операционного риска могут быть использованы сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты и (или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени (продолжительности) простоя информационно-технологических систем и других показателях.
Для каждого индикатора рекомендуется установить лимиты (пороговые значения), что позволит обеспечить выявление значимых для кредитной организации операционных рисков и своевременное адекватное воздействие на них.
Кроме того, рекомендуется установить периодичность пересмотра системы индикаторов уровня операционного риска.
3.13. Мониторинг операционного риска может проводиться как на уровне подразделений, так и в целом по кредитной организации. Полученную в процессе мониторинга операционного риска информацию о потенциальном изменении уровня риска рекомендуется своевременно доводить до соответствующих органов управления, подразделений, служащих для принятия необходимых мер.
3.14. Минимизация операционного риска предполагает осуществление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и (или) на уменьшение (ограничение) размера потенциальных операционных убытков. Методы минимизации операционного риска рекомендуется применять с учетом характера и масштабов деятельности кредитной организации.
3.15. Основным методом минимизации операционного риска, контролируемого на уровне кредитной организации, является разработка организационной структуры, внутренних правил и процедур совершения банковских операций и других сделок таким образом, чтобы исключить (минимизировать) возможность возникновения факторов операционного риска. При этом особое внимание рекомендуется обращать на соблюдение принципов разделения полномочий, порядка утверждения (согласования) и подотчетности по проводимым банковским операциям и другим сделкам.
3.16. Контроль за соблюдением установленных правил и процедур осуществляется в рамках системы внутреннего контроля.
В отношении контроля за операционным риском наиболее важным является:
контроль за соблюдением установленных лимитов по проводимым банковским операциям и другим сделкам;
соблюдение установленного порядка доступа к информации и материальным активам банка;
надлежащая подготовка персонала;
регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам.
3.17. Снижению операционного риска может способствовать развитие систем автоматизации банковских технологий и защиты информации. При этом кредитной организации рекомендуется принимать во внимание возможную трансформацию операционного риска: при ручной (неавтоматизированной) обработке существует высокая вероятность наступления события, приводящего к убыткам (например, ошибка при вводе данных), а величина потенциальных убытков - небольшая или умеренная, в то время как с повышением уровня автоматизации вероятность наступления события, приводящего к убыткам, снижается, но величина потенциальных убытков может быть весьма значительной (например, ошибка в программном обеспечении или системный сбой).
3.18. Снижение уровня отдельных видов операционного риска может быть осуществлено путем передачи риска или его части третьим лицам.
Решение об использовании механизмов передачи риска (например, аутсорсинга) рекомендуется принимать по результатам тщательного анализа с учетом ожидаемого эффекта, стоимости и возможности трансформации одного вида риска в другой. Кредитной организации рекомендуется наряду с контролем за уровнем остаточного риска сохранять возможность контроля за размером передаваемого операционного риска.
При применении аутсорсинга рекомендуется обратить внимание на то, что в этом случае кредитная организация несет ответственность не только за конечный результат деятельности, но и за способ его достижения, поэтому целесообразно установить контроль за уровнем надежности, качества и соблюдением законодательства Российской Федерации при оказании услуг.
Аутсорсинг рекомендуется осуществлять на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между кредитной организацией и поставщиком услуг. Кредитной организации рекомендуется предусмотреть во внутренних документах порядок регулирования рисков, связанных с аутсорсингом, в том числе риска отказа в обслуживании.
3.19. Уменьшение финансовых последствий операционного риска (вплоть до полного покрытия потенциальных операционных убытков) возможно с помощью страхования. С использованием традиционных видов имущественного и личного страхования кредитными организациями могут быть застрахованы:
здания и иное имущество (в том числе валютные ценности и внутренние ценные бумаги) - от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;
сотрудники банка - от несчастных случаев и причинения вреда здоровью;
носители информации и сама информация - на случай утраты.
Страхование может быть использовано и в отношении специфических банковских рисков как на комплексной основе (полис комплексного банковского страхования), так и применительно к отдельным видам рисков (например, страхование рисков, связанных с эмиссией и обращением платежных карт, страхование профессиональной ответственности служащих кредитной организации, страхование ущерба от преступлений в сфере компьютерной информации).
Кредитным организациям рекомендуется оценивать целесообразность использования страхования на комплексной основе с учетом как стоимости страхования, так и вероятности наступления и влияния страхового события на финансовое положение кредитной организации. Оценки страховщиков, произведенные в ходе заключения договора о страховании, могут быть использованы в целях оптимизации управления операционным риском.
При заключении договоров страхования кредитным организациям рекомендуется обращать особое внимание на процедуры и сроки выплат страхового возмещения.
3.20. В целях ограничения операционного риска рекомендуется предусмотреть комплексную систему мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности).
При разработке планов по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности рекомендуется оценивать возможный ущерб от непредвиденных событий (обстоятельств) относительно предполагаемых затрат на подготовку и реализацию соответствующих планов с учетом всех возможных (предполагаемых) сценариев развития событий, создающих угрозу убытков, особенно для рисков, характеризующихся низкой вероятностью, но большими размерами потенциальных убытков, источники которых находятся вне контроля кредитной организации.
3.21. Под планом по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности в целях настоящих Рекомендаций понимается документ, который содержит следующие элементы:
определение защищаемого внутреннего процесса;
степень обеспечиваемой защиты (поддержание в течение определенного времени нормальной работы, поддержание в течение определенного времени работы на минимально приемлемом уровне, продолжение работы в режиме постепенной деградации, наиболее быстрое и (или) безопасное прекращение работы или нарушенного процесса, обеспечение последующего восстановления нормального режима работы прерванного процесса);
процедуры перехода в аварийный режим и порядок работы в этом режиме;
необходимые ресурсы (например, помещения, обеспечение квалифицированным персоналом, оборудованием и вычислительной техникой, программным обеспечением, средствами связи);
перераспределение функций, полномочий и обязанностей подразделений и служащих;
порядок восстановления работоспособности нарушенных внутренних процессов и систем и возврата к режиму нормальной работы;
дополнительные процедуры нормального режима работы, направленные на создание условий перехода в аварийный режим и возможности работы в нем (например, резервное копирование информации, ведение архива автоматизированной системы на бумажных носителях).
3.22. Кредитным организациям рекомендуется уделять особое внимание обеспечению сохранности и возможности восстановления информационных систем и ресурсов. Помещение для установки резервного оборудования или оборудования, на которое должно производиться резервное копирование информации, рекомендуется выбирать так, чтобы минимизировать риск одновременной утраты первичной и резервной копии данных или одновременного выхода из строя основного и резервного оборудования.
3.23. Разработку планов по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности рекомендуется осуществлять в комплексе с другими мерами, направленными на минимизацию соответствующих операционных рисков.
Соответствие планов по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности характеру и масштабам деятельности кредитной организации рекомендуется регулярно проверять путем проведения испытаний (тестов). При необходимости или с учетом тестирования планы могут пересматриваться и корректироваться.
4. Контроль за эффективностью
управления операционным риском
4.1. Кредитным организациям рекомендуется определить порядок осуществления контроля за эффективностью управления операционным риском.
4.2. Во внутренних документах рекомендуется установить:
порядок рассмотрения и расследования фактов операционных убытков и причин их возникновения, а также порядок применения административных мер к членам совета директоров (наблюдательного совета), исполнительных органов и служащим, виновным в их возникновении;
периодичность оценки органами управления кредитной организации (в соответствии с их полномочиями, установленными уставом и внутренними документами кредитной организации) результатов указанных расследований, а также оценки достигнутого уровня управления операционным риском в кредитной организации;
систему оценки эффективности управления операционным риском.
4.3. В случае возникновения операционных убытков кредитным организациям рекомендуется производить сопоставление прогнозных оценок с размерами понесенных операционных убытков, имевших место за соответствующий период, анализировать причины полученных расхождений и вносить необходимые изменения в применяемые методики и математические модели.
4.4. Кредитным организациям рекомендуется на регулярной основе пересматривать существующие внутренние процессы и процедуры, используемые информационно-технологические системы с целью выявления не учтенных ранее источников операционного риска.
Периодичность пересмотра рекомендуется определить во внутренних документах кредитной организации.
4.5. В целях контроля за эффективностью управления операционным риском целесообразно по мере необходимости пересматривать основные принципы управления операционным риском на основе анализа:
достигнутого уровня управления операционным риском в кредитной организации;
международного опыта и опыта российских кредитных организаций в области управления операционным риском;
изменений, происходящих на финансовых рынках;
других внешних и внутренних факторов, которые могут оказать влияние на показатели деятельности кредитной организации.
5. Раскрытие информации по управлению операционным риском
Кредитной организации рекомендуется доводить до участников (акционеров), кредиторов, вкладчиков и иных клиентов, внешних аудиторов, рейтинговых агентств и других заинтересованных лиц (в том числе в составе годового отчета) информацию по управлению операционным риском, обеспечив при этом соответствие степени детализации раскрываемой информации характеру и масштабам деятельности кредитной организации.
Приложение
к Рекомендациям по организации
управления операционным риском
в кредитных организациях
НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ
В целях управления операционным риском кредитной организации рекомендуется применять следующую классификацию направлений деятельности: