Проведение самооценки (RCSA)
При проведении самооценки подразделений банка в их адрес направляется в том числе и информация о внешних событиях за оцениваемый период. Руководителям подразделений ставится задача оценить вероятность подобных событий, возможный ущерб, а также дать оценку степени эффективности контрольных процедур, направленных на предотвращение реализации подобного риска в банке.
Порядок проведения самооценки ОР банка разработан таким образом, чтобы совместить как качественную, так и количественную оценки уровня ОР.
Проведение самооценки в банке можно проводить двумя различными путями:
- • Top-down (сверху вниз);
- • Bottom-up (снизу верх).
Самооценка сверху вниз (Top-down)
Руководителям отдельных направлений бизнеса (руководителям Блоков) предлагается оценить в том числе автоматизацию и регламентированность процессов, разделение полномочий и эффективность контроля в процессах. Самооценка проводится с помощью анкеты, в которой предлагается оценить различные критерии. Каждый критерий может быть оценен по пятибалльной шкале (табл. 4.9—4.12).
Примерные критерии оценки для анкетирования
Степень автоматизации процессов (доля процессов, которые автоматизированы)
Удовлетворенность автоматизацией процессов
Полная удовлетворенность текущим уровнем автоматизации. Практически все направления деятельности Блока автоматизи ро ван ы
Удовлетворенность автоматизацией процессов
Средний, близкий к низкому
Удовлетворенность текущим уровнем автоматизации.
В целом уровень автоматизации высокий, но есть отдельные направления деятельности Блока, которые нуждаются в дополнительной автоматизации процедур
Нельзя сказать однозначно. Можно выделить направления деятельности Блока, но которым уровень автоматизации высокий, но есть отдельные направления, где много «ручных» процессов
Средний, близкий к высокому
Неудовлетворенность текущим уровнем автоматизации. Можно выделить только одно направление в Блоке, по которому автоматизация должного уровня, остальные процессы «ручные»
Полная неудовлетворенность текущим уровнем автоматизации. Практически по всем направлениям деятельности Блока процессы осуществляются «вручную»
Таблица 4.10
Уровень формализованное™ и регламентированное™ процессов и процедур (доля процессов и процедур, которые регламентированы и формализованы)
Степень регламентированности процессов и процедур, %
Удовлетворенность регламентированостыо процессов и процедур
Полная удовлетворенность текущим уровнем регламентации процессов. Практически все процессы Блока хорошо регламентированы, процедуры детально описаны
Средний, близкий к низкому
Удовлетворенность текущим уровнем регламентации процессов. Практически все процессы Блока хорошо регламентированы, процедуры детально описаны, но некоторые документы требуют незначительной актуализации
Нельзя сказать однозначно. Можно выделить процессы Блока, по которым уровень регламентации высокий, но есть отдельные процессы, которые недостаточно описаны либо описание неактуально, из-за чего возникают ошибки в процессах
Средний, близкий к высокому
Неудовлетворенность текущим уровнем регламентации процессов. Выполнение процессов и процедур на практике в значительной степени отличается от того, что написано во внутренних нормативных документах
Степень регламентированности процессов и процедур, %
Удовлетворенность регламентированостыо процессов и процедур
Полная неудовлетворенность текущим уровнем регламентации процессов. Можно выделить только одно направление в Блоке, по которому детально описаны и регламентированы процессы, по остальным процессам документы не соответствуют тому, как процесс осуществляется в действительности, либо детальная регламентация процессов отсутствует по всем направлениям в Блоке
Таблица 4.11
Доля процессов, в которых разграничены полномочия сотрудников, риск возникновения конфликта интересов минимизирован
Степень разграничения полномочий сотрудников,
Удовлетворенность разграничением полномочий сотрудников
Полная удовлетворенность действующей системой разграничения полномочий сотрудников при организации процессов, в которых задействованы подразделения Блока
Средний, близкий к низкому
Удовлетворенность действующей системой разграничения полномочий сотрудников мри организации процессов, в которых задействованы подразделения Блока. Практически по всем направлен им, находящимся в зоне ответственности деятельности Блока, есть разграничение полномочий, по по некоторым процессам возможен «конфликт интересов»
Нельзя сказать однозначно. Можно выделить направления деятельности Блока, по которым есть четкое разделение полномочий, но есть отдельные процессы банка, в которых задействованы подразделения Блока, в которых возникает «конфликт интересов» в результате совмещения одним подразделением функций исполнения операций и их контроля
Средний, близкий к высокому
Неудовлетворенность действующей системой разграничения полномочий сотрудников при исполнении процессов, в которых задействованы подразделения Блока. Разграничения полномочий в значительной степени отличаются от того, что написано во внутренних нормативных документах, что способствует реализации ошибок в процессе
Полная неудовлетворенность действующей системой разграничения полномочий сотрудников мри организации процессов, в которых задействованы подразделения Блока. Разграничение полномочий отсутствует и никак не регламентировано
Таблица 4.12
Эффективность системы контроля при осуществлении банковских процессов (например, доля процессов, в которых реализована система двойного контроля)
Удовлетворенность эффективностью контрольных процедур
Полная удовлетворенность эффективностью контрольных процедур при осуществлении банковских процессов, в которых задействованы подразделения Блока. Контрольные процедуры практически полностью снижают риск возникновения ошибок в процессах, За прошедший отчетный период не было выявлено событий операционного риска
Средний, близкий к низкому
Удовлетворенность эффективностью контрольных процедур при осуществлении банковских процессов, в которых задействованы подразделения Блока. Контрольные процедуры ограничивают риск возникновения инцидентов операционного риска в процессах. Возникающие ошибки не приносят серьезных убытков, обусловлены в основном человеческим фактором и нс могут быть совсем исключены в данном процессе. За отчетный период были зафиксированы незначительные убытки от реализации событий операционного риска
Нельзя сказать однозначно. Не все контрольные процедуры работают корректно
Средний, близкий к высокому
Неудовлетворенность действующей системой разграничения полномочий сотрудников при организации процессов, в которых задействованы подразделения Блока. Контрольные процедуры, описанные во внутренних нормативных документах, значительно отличаются от тех, которые осуществляются в реальности и не способствуют снижению риска. За отчетный период были выявлены единичные случаи крупных убытков от реализации операционного риска
Полная неудовлетворенность действующей системой разграничения полномочий сотрудников при организации процессов, в которых задействованы подразделения Блока. Контрольные процедуры либо не исполняются, либо не эффективны, Риск возникновения. За отчетный период было выявлено несколько случаев крупных убытков от реализации операционного риска
Оценка итогового показателя осуществляется на основании средневзвешенных оценок руководителей по каждому направлению бизнеса, при этом нулевые оценки исключаются.
Уровень операционного риска может определяться, например, следующим образом:
где А — средневзвешенное значение, Ai > 0 по всем бизнес-направлениям, где Aj — оценка показателя по автоматизации; Р — средневзвешенное значение, Pj > 0 по всем бизнес-направлениям, где Р, — оценка показателя по регламентации процессов; П — средневзвешенное значение, П, > 0 но всем бизнес-направлениям, где П, — оценка показателя по разграничению полномочий сотрудников в процессах; К — средневзвешенное значение, К, > О по всем бизнес-направлениям, где К; — оценка показателя по эффективности контрольных процедур.
Также по результатам анкетирования может быть проведена встреча, на которой руководители направлений рассказывают о глобальных проблемах своих направлений, о планах их решений. Также необходимо уточнить, какие решения уже внедрены в работу для минимизации рисков.
Данный вид самооценки используется для определения основных проблемных направлений в работе банка. Данные верхнеуровневой оценки используются для более глубокой проработки критичных направлений при проведении самооценки Bottom-Up.
Оценка средств управления эффективностью банковского риск-менеджмента
Estimation of the management tools of the effectiveness of bank risk management
Авторы
Аннотация
В рамках настоящего исследования проанализированы существующие инструменты управления эффективностью банковского риск-менеджмента. Выявлено, что имеющиеся показатели, использующиеся в процессе оценки инструментов управления эффективностью, не охватывают в полной мере свойства инструментов, напрямую влияющих на систему управления рисками. Модернизирован метод интегральной оценки эффективности применения рассматриваемых инструментов путем включения формализованного способа выявления частных критериев, характеризующих требования современной стадии развития банковской сферы, позволяющих измерить эффективность применения данных инструментов в крупном банке. В ходе проведенного исследования выявлено, что наиболее целесообразным для применения является инструмент риск-культуры, обладающий значительным потенциалом для применения в банковской системе. Охарактеризован эффект от применения данного метода и перспективы его дальнейшего развития.
Ключевые слова
риск, управление рисками, RAROC, ключевые индикаторы риска, стресс-тестирование, самооценка рисков и контролей, риск-культура
Финансирование
Исследование выполнено при грантовой поддержке Российского Фонда Фундаментальных Исследований (отделение гуманитарных и общественных наук), проект 16–02–00531а.
Рекомендуемая ссылка
Дятлов С.А., Щугорева В.А., Лобанов О.С.. Оценка средств управления эффективностью банковского риск-менеджмента // Современные технологии управления. ISSN 2226-9339. — №5 (77). Номер статьи: 7704. Дата публикации: 30.05.2017. Режим доступа: https://sovman.ru/article/7704/
Authors
Abstract
Within the framework of this study, the existing tools for managing the effectiveness of bank risk management have been analyzed. It was revealed that the available indicators used in the evaluation of performance management tools do not fully cover the properties of instruments that directly affect the risk management system. The method of integral evaluation of the effectiveness of the application of instruments under review has been modernized by incorporating a formalized way of identifying particular criteria that characterize the requirements of the current stage of development of the banking sector, which makes it possible to measure the effectiveness of the application of these instruments in a large bank. In the course of the study, it was found that the most appropriate for use is a risk-culture tool, which has significant potential for application in the banking system. The effect of the application of this method and the prospects for its further development are characterized.
Keywords
risk, risk management, RAROC, key risk indicators, stress testing, self-assessment of risks and controls, risk culture
Project finance
The study has been developed under the grant of the Russian Foundation for Basic Research, № 16–02–00531а.
Suggested citation
Djatlov S.A., Lobanov O.S., Shhugoreva V.A.. Estimation of the management tools of the effectiveness of bank risk management // Modern Management Technology. ISSN 2226-9339. — №5 (77). Art. # 7704. Date issued: 30.05.2017. Available at: https://sovman.ru/article/7704/
Введение
Современная ситуация характеризуется развертыванием глобального финансово-экономического кризиса, трансформацией мировой и национальных хозяйственных и финансово-банковских систем [14], обострением гиперконкурентной борьбы на мировых рынках [1]. Сегодня назрела необходимость разработки новой парадигмы, перехода к новой негэнтропийной модели экономического развития [2], новой модели управления рисками в условиях усиления глобальной инновационной гиперконкуренции. Основной парадигмой банковского опыта управления рисками считалось то, что защитная функция является в первую очередь управляющей функцией, требуя принятия ключевых решений от топ-менеджмента для защиты банков от различных финансовых последствий. Однако, менеджмент не смог в эффективной мере обеспечить уровень принятия глобальных решений настолько правильным, чтобы и развивать бизнес и, в тоже время, так же успешно снижать потери от рисков. Требовалось более точная настройка процессов. Старая парадигма требовала переосмысления и модернизации.
Развитие новых информационных банковских технологий, широкое распространение электронных платежных систем, активное внедрение удаленных сервисов обслуживания, многократный рост банковских транзакций, в т.ч. по банковским картам сопровождается ростом рисков хакерских атак, увеличением числа мошеннических схем по краже денежных средств со счетов клиентов через интернет. Так, 12-15 мая 2017 года была предпринята масштабная хакерская атака (заражения компьютерным вирусом-вымогателем WannaCry) на компьютеры и сервера компаний различных стран, в том числе на электронные платежные системы крупных банков индустриально развитых стран мира, включая Китай, Россию, США, страны ЕС [17].
Важнейшим инструментом снижения электронных уязвимостей, рисков и преодоления цифрового неравенства в финансово-банковской сфере является конвергенция информационных пространств [3], институтов и сервисов государственных и частных электронных платежных систем. Ведущие банки стали внедрять в свои электронные банковские системы трехуровневую линию зашиты, в которую были вовлечены не только банковские менеджеры, но и сотрудники, работающие с клиентами (первая линия защиты), риск-менеджеры банка (вторая линия защиты) и служба внутреннего контроля (третья линия).
Система риск-менеджмента, как и любая система, состоит из элементов. Люди, процессы, инструменты и модели. Выстраивание данной системы требует четкого понимания целей, которые должны выполнять система. Цели системы определены требованиями регулятора, а также акционерами коммерческого банка. Само по себе достижение этих целей не означает что система риск-менеджмента работает эффективно. Выполнение требований регулятора — важная и необходимая часть построения системы, без которой существование коммерческой организации, как минимум, незаконно, но важную роль играют цели, которые ставят акционеры понимая, что система риск-менеджмента должна защищать банк от непредвиденных угроз, в тоже время не мешая бизнесу для выполнения основных банковских задач. Построение сбалансированной системы целей является очень сложной и крайне важной частью выстраивания взаимодействия элементов системы управления рисками [8, с. 95].
Банку необходимо понять, какой максимальный размер риска допустим для ведения бизнеса, позволяющий получать запланированный доход. Причем данный размер может регулярно меняться и пересматриваться в зависимости от текущей конъюнктуры и экономической ситуации. Такой размер принято называть аппетитом к риску или риск-аппетитом.
Аппетит к риску можно определить, как совокупный максимальный уровень риска (возможных потерь) банка, который он готов принять в процессе создания стоимости, достижения установленных целей, в том числе целевого уровня доходности, реализации стратегических инициатив и выполнения своей миссии.
Система лимитов риск-аппетита и порядок ее функционирования должны быть зафиксированы во внутренних нормативных документах банка.
Если поставить задачу оценить эффективность системы управления рисками, то необходимо определить инструменты, которые можно использовать в данной системе для достижения необходимых показателей риск-аппетита [13, с. 272].
Цель исследования – определить и оценить существующие средства управления эффективностью банковского риск-менеджмента. На текущий момент существует множество различных инструментов, моделей, подходов и показателей, которые в той или иной степени могут оценивать текущее состояние риск-менеджмента в российском банке, а также прямо или косвенно влиять на изменение этого состояния. Объектом исследования является акционерный коммерческий банк. Предмет исследования – система банковского риск-менеджмента.
Методы исследования
Если рассмотреть более подробно методы, которые используют российские банки, то для оценки эффективности выделим несколько инструментов, используемых в банках и существенно влияющих на систему управления рисками:
- Рентабельность капитала с учетом риска (RAROC);
- Ключевые индикаторы риска.
- Применение методов стресс-тестирования;
- Самооценка;
- Внедрение риск–культуры.
Каждый из этих показателей или методов является современным инструментом для оценки и влияния на систему управления рисками. Банки сами выбирают, какие из этих инструментов использовать в своей деятельности. Одной из поставленных задач в рамках исследования является определить те инструменты, которые требуют совершенствования, в рамках такой задачи, предложен и разработан интегральный показатель, учитывающий особенности всех инструментов, а также те качества, которые напрямую влияют на систему риск-менеджмента как бизнес-процесса.
Данный интегральный показатель рассчитан экспертно с помощью бально-весового подхода и метода экспертных оценок, который был предложен С.С. Беликовым для оценки качества системы риск-менеджмента [9]. Для оценки системы инструментов С.С. Беликовым были определены 4 группы критериев:
- уровень документационной базы,
- уровень взаимодействия подразделений и персонала,
- уровень организации системы управления,
- уровень обеспечения бесперебойной деятельности.
При этом инструменты в данном исследовании подразделялись на виды рисков. Разработанная система анализа была основана на 6 ключевых критериях:
- результативность,
- общая экономичность,
- рациональность и целесообразность,
- надежность и функциональная адаптивность,
- соответствие нормам и стандартам,
- качество организационного и информационного обеспечения.
На текущий момент данные критерии не охватывают в полной мере свойства инструментов, напрямую влияющих на систему управления рисками [15, с. 95]. Предложенный метод предлагается дополнить и уточнить следующими критериями, характерными для современной стадии развития банковской сферы:
- уровень корреляции показателя и финансового ущерба банка,
- наличие возможности автоматизированной системы позволяющей управлять инструментом и расчётами, стоимость, доступность,
- наличие возможности создания пользовательского интерфейса и ролей на всех уровнях персонала в АС,
- наличие прозрачной системы отчётности и принятия решений,
- строгость аппаратных математических расчетов (уровень формализованности расчетов),
- влияние крупности банка на показатель или инструмент,
- зависимость инструмента от документов и инструкций ЦБ,
- международная практика применения инструмента,
- использование инструмента в ЦБ для учета своих рисков,
- интеграция показателя к персоналу банка (уровень охвата),
- учет всех видов риска.
Теперь рассмотрим данные инструменты и оценим их по предложенным критериям (баллы 1…10). Веса предложены экспертно на основании опроса риск-менеджеров с опытом работы в системе банковского риск-менеджмента не менее 3 лет и представлены в таблице 1.
Таблица 1 – Критерии оценки инструментов
Критерий | Вес |
Корреляция с ущербом (I1) | 0,2 |
Возможность АС(I2) | 0,1 |
Интеграция АС на все уровни(I3) | 0,05 |
Система отчетности и принятия решений(I4) | 0,05 |
Уровень формализованности расчетов (I5) | 0,05 |
Влияние крупности банка (I6) | 0,1 |
Зависимость от ЦБ (I7) | 0,05 |
Международная практика (I8) | 0,1 |
Использование ЦБ (I9) | 0,1 |
Уровень охвата (I10) | 0,1 |
Учет всех видов риска (I11) | 0,1 |
Рентабельность капитала с учетом риска (RAROC)
Одним из наиболее популярных показателей как в зарубежных банках, так и в российском банковском бизнесе, является рентабельность капитала с учетом риска (Risk Adjusted Return on Capital, RAROC). Данный показатель может использоваться банками в рамках системы управления эффективностью деятельности с учетом риска (Risk Adjusted Performance Management, RAPM). RAROC рассчитывается по следующей формуле (1):
По существу, RAROC показывает, сколько банк с учетом риска зарабатывает за период на рубль потребляемого капитала.
RAROC появился в банковской отрасли как более совершенная альтернатива классическому показателю рентабельности собственного капитала (Return on Equity, ROE). Для расчета RAROC бухгалтерские показатели, используемые при расчете ROE и связанные с уровнем риска, – расходы на резервы на возможные потери и собственные средства (капитал) – заменяются на экономические показатели, более объективно отражающие принимаемые риски: ожидаемые потери (EL) и экономический капитал (ECap, ЭК).
Благодаря этому по сравнению с ROE RAROC позволяет более детально анализировать деятельность банка с точки зрения соотношения риска и доходности, поскольку может быть рассчитан на низких уровнях сегментации.
В расчете RAROC используются как бухгалтерские показатели, так и экономические показатели. При этом важно использовать сопоставимые друг с другом компоненты расчета, взятые за один и тот же период времени и полученные на основании одного и того же массива заемщиков или операций.
Расчет и анализ показателя RAROC создает предпосылки для более эффективного использования капитала банка через его перераспределение на бизнес-единицы, приносящие наибольшую доходность с учетом риска.
Во-первых, RAROC позволяет сбалансированно и точечно влиять на развитие бизнеса. Во-вторых, RAROC позволяет повысить эффективность использования буфера капитала (разницы между источниками капитала и требованиями к капиталу). В-третьих, и в период избыточности капитала, и в кризисный период, когда наблюдается дефицит капитала, использование RAROC поможет ограничить/сократить наименее эффективные направления.
Баллы по каждому критерию и общий итоговый балл за инструмент представлены в таблице 2.
Таблица 2 – Оценка инструмента RAROC
I1 | I2 | I3 | I4 | I5 | I6 | I7 | I8 | I9 | I10 | I11 | Итого |
10 | 3 | 2 | 5 | 9 | 0 | 5 | 3 | 3 | 2 | 5 | 4,65 |
Ключевые индикаторы риска
Ключевые индикаторы риска (КИРы), как определяет их название, – это индикаторы ключевых рисков, которым подвержен банк. Они являются частью информации, которая служит индикатором подверженности банка тому или иному виду риска [12, с. 105].
Ключевой индикатор риска (Key Risk Indicator, KRI) – количественный показатель, исчисляемый с заданной периодичностью и используемый для оценки текущего уровня риска, соотнесения текущего уровня с допустимым (пороговым) значением, определения проблемных областей и предотвращения возможных потерь путем разработки и внедрения превентивных мер [11, с. 60].
Выделяют три основных типа КИРов:
- Единичные КИРы. Например, число недовольных клиентов.
- Смешанные КИРы. Содержат два и более единичных КИРов, комбинированных с использованием соответствующего алгоритма. Например, соотношение общего числа клиентов и числа недовольных клиентов дают уровень недовольства клиентов.
- Качественные КИРы. Такие КИРы, как «рейтинг аудита», представляют собой оценку уровня риска: «высокий», «средний» или «низкий».
Существуют также индикаторы, ориентированные не на потери, а на бизнес-процессы. Например, повышенную текучесть персонала банка трудно соотнести с какой-либо конкретной потерей, поскольку она отражает процесс. Подобные индикаторы помогают оценить качество операций для всех видов риска. Они, как правило, тоже исторические, поскольку информируют нас о том, что уже произошло, и не указывают, на чем стоит сосредоточить усилия в будущем.
Предикативными являются индикаторы окружения, такие как число жалоб со стороны клиентов, удовлетворенность персонала своей работой, количество проведенных тренингов для сотрудников подразделения.
В реальной жизни существуют тысячи всевозможных КИРов, соответствующих основным процессам, направлениям бизнеса, потерям и событиям, происходящим в банке, поэтому процесс оценки необходимо проводить, основываясь на исторических данных и применяя статистические методики, выявляющие взаимосвязи между данными. Таким образом, в результате успешно проведенного анализа КИРов остаются самые важные индикаторы, ключевые для данного вида риска.
На практике эффективное применение индикаторов предусматривает одновременное использование как исторических, так и опережающих индикаторов. Чем более они специфичны и чем точнее отражают профиль соответствующего риска, тем большую значимость имеет работа с индикаторами. Так называемая «чувствительность» индикатора отражает эффективность его работы. Измерить чувствительность непросто, поэтому на практике оптимальные пороговые значения индикаторов риска вначале определяются количественно, а затем корректируются в процессе моделирования.
Баллы по каждому критерию и общий итоговый балл за инструмент представлены в таблице 3.
Таблица 3 – Оценка инструмента КИР
I1 | I2 | I3 | I4 | I5 | I6 | I7 | I8 | I9 | I10 | I11 | Итого |
7 | 6 | 7 | 3 | 3 | 3 | 3 | 6 | 4 | 8 | 5 | 5,40 |
Стресс-тестирование
Важным инструментом оценки влияния экстраординарных событий на финансовую устойчивость банка может выступать стресс-тестирование стресс-тестирование. Данный инструмент позволяет проанализировать влияние на банк особо крупных потерь, вероятность понесения которых находится за пределами доверительного интервала, на котором банк рассчитывает свой экономический капитал. Под стрессом понимается установление для макроэкономических факторов, влияющих на банк, весьма неблагоприятных значений, в частности значений более негативных, нежели принятые для пессимистического сценария бизнес-плана банка.
Стресс-тестирование может осуществляться на основе исторических и гипотетических сценариев. Исходя из изложенного, можно дать следующее определение стресс-тестирования — это оценка риск-показателей и параметров портфелей активов и пассивов в условиях маловероятных, но возможных, пессимистических сценариев, в частности, с целью определения достаточности имеющихся у банка источников капитала для покрытия потенциальных убытков [4, с. 298]. Оно может осуществляться как в разрезе отдельных видов рисков, так и агрегировано.
Стресс-тестирование применяется в разных сферах риск-менеджмента для решения следующих разнообразных задач:
- управление капиталом,
- управление ликвидностью,
- бизнес-планирование,
- управление портфелем,
- определение риск-аппетита.
Стресс-тестирование позволяет оценить влияние пессимистических сценариев на все основные показатели деятельности банка: финансовый результат и рентабельность, достаточность капитала, нормативы ликвидности, качество кредитного портфеля и др. Результаты стресс-тестирования и соответствующие рекомендации на регулярной основе могут представляться на очное обсуждение коллегиальных органов банка.
Баллы по каждому критерию и общий итоговый балл за инструмент представлены в таблице 4.
Таблица 4 – Оценка инструмента стресс-тестирования
I1 | I2 | I3 | I4 | I5 | I6 | I7 | I8 | I9 | I10 | I11 | Итого |
3 | 2 | 2 | 4 | 3 | 6 | 0 | 8 | 6 | 3 | 7 | 4,25 |
Самооценка рисков и контролей
Самооценка рисков и контролей представляет собой процесс идентификации, описания и оценки потенциальных рисков и связанных с ними контролей. Хотя фундаментальные принципы проведения самооценки во всем мире достаточно хорошо разработаны, тем не менее, представления о лучшем подходе на микроуровне могут сильно разниться. Процесс самооценки прежде всего предназначен для идентификации и оценки потенциальных, а не текущих рисков и инцидентов.
Прежде всего, процесс самооценки проводится для идентификации и документации перечня наиболее существенных рисков и связанных с ними контролей, увеличения осведомленности бизнеса о рисках банка путем трансляции результатов самооценки. Таким образом, основными целями самооценки являются:
- выявление существенных рисков и недостатков в системах контроля, включая разработку индикаторов риска и индикаторов контроля для мониторинга риска и выработку мер для минимизации риска;
- повышение информированности об уровне операционного риска и формирования профиля рисков банка, структурных подразделений;
- формирование входных данных для сценарного анализа, мониторинга индикаторов риска и моделирования требований к капиталу на покрытие операционного риска.
Согласно общепринятым мировым стандартам самооценка должна проводиться не реже чем раз в год.
Первым этапом самооценки является определение степени подверженности банка тому или иному риску. Подверженность риску может быть определена одним или несколькими из следующих методов:
- интервьюирование уполномоченных сотрудников оцениваемого бизнеса;
- анкетирование;
- анализ базы данных инцидентов операционного риска (исторических данных);
- анализ отчетов третьих сторон (внешний и внутренний аудит, регулятор, консультанты и т. д.);
- анализ внешних источников данных, таких как пресса и обзоры мировых практик;
- использование данных, доступных на внутреннем портале банка;
- проведение мозгового штурма в рамках семинаров.
Одним из самых эффективных является последний метод. В ходе семинаров привлекаются представители структурных подразделений, включающих как управляющий состав, так и специалистов. Участников спрашивают о том, что именно они считают своими рисками.
В процессе самооценки, аналогично оценке риска, оценивается эффективность контрольных процедур (применяется 5-позиционная шкала с оценкой от нулевой до высокой эффективности). Совместно с общей оценкой воздействия риска оценка эффективности контрольных процедур определяет рейтинг данного риска.
Баллы по каждому критерию и общий итоговый балл за инструмент представлены в таблице 5.
Таблица 5 – Оценка инструмента самооценка рисков и контролей
I1 | I2 | I3 | I4 | I5 | I6 | I7 | I8 | I9 | I10 | I11 | Итого |
3 | 4 | 8 | 7 | 2 | 6 | 2 | 7 | 4 | 10 | 4 | 5,05 |
Риск-культура
Несмотря на то, что понятие риск-культуры появилось давно, четкого и однозначного определения данного термина в банковской практике как такового нет. Однако уже в 2016 году Банк России согласно политике Управления рисками признал риск-культуру как один из важнейших элементов [16, с. 355] системы управления рисками. Так, согласно регулятору, риск-культуру можно определить, как совокупность ценностей, убеждений, пониманий, знаний, норм поведения и практик в отношении рисков организации и управления ими, разделяемых и принимаемых всеми работниками организации. Стоит отметить, что риск-культура базируется на ценностях и убеждениях человека, которые могут быть приняты только добровольно. Важное отличие от других инструментов заключается в том, что нельзя сотрудника заставить выполнять требования риск-культуры.
Данное определение дает контур к пониманию что значит риск-культура в организации, но все же это определение слабо формализовано. Одна из главных проблем всех организаций, которые внедряют подходы к риск-культуре, это отсутствие методов параметрической оценки, которая бы позволила оценить уровень неформальных принципов и убеждений.
Для большинства работников, сотрудники, которые работаю в системе управления рисками, риск-менеджеры, представляются людьми со специфическими математическими знаниями, которые недоступны большинству. Решения риск-менеджеров могут быть непонятны, особенно тем, кто выполняет бизнес-функции. Риск-культура предлагает преодолеть данные недопонимания между риск-менеджерами и остальными работниками.
В условиях развитой риск-культуры каждый сотрудник, во-первых, знает, чем занимается и за что отвечает риск-менеджер; во‑вторых, понимает, что решение риск-менеджера также основаны на целях благополучия организации; в-третьих, мотивирован на практическое применение решений систем риск-менеджмента.
Риск-менеджмент, как и любой другой управляющий процесс, четко регламентируется. Организационные структуры, роли, процедуры, инструменты и модели должны работать как слаженный механизм. Но в современных трудных экономических условиях опоры на формальные механизмы недостаточно для обеспечения устойчивости системы риск-менеджмента банка и ее адаптивности к постоянно меняющейся внешней и внутренней среде. Надежно закрыть возможные пробелы и серые зоны в нормативном регулировании помогают знания, ценности, принципы и убеждения в сфере управления рисками.
В банках, в сфере управления рисками часто доминируют либо формальные процедуры, либо неформальные принципы и убеждения. Наиболее успешные банки развивают и то, и другое.
Таким образом, развитие риск-культуры – очень важный этап развития всей системы управления рисками.
На практике уровень риск-культуры меняется от банка к банку. Если в организации достаточно сильная риск-культура, риск-менеджмент пронизывает все: процессы, системы, управленческие решения, модели и т. д. В банках с менее развитой риск-культурой риск-менеджмент сводится к формальным заключениям и рекомендациям риск-менеджеров, зачастую не обладающих правом голоса при принятии бизнес-решений.
Таким образом, весь инструментарий риск-менеджмента, каким бы совершенным он ни был, эффективен настолько, насколько развита культура управления рисками в организации.
Одной из причин медленного развития риск-культуры может быть слабая поддержка риск-менеджмента со стороны высшего руководства организации. Понимая важность внедрения инструментов управления рисками, руководство не всегда сознает, что риск-менеджмент касается не только риск-менеджеров, но и остальных сотрудников организации [10, с. 65].
Еще один труднопреодолимый барьер развития культуры риск-менеджмента состоит в том, что люди в бизнесе часто сопротивляются попыткам взглянуть на их действия под иным углом, предсказать альтернативные варианты развития событий. Вот почему многое должно быть сделано для правильной коммуникации роли риск-менеджеров как партнеров и конструктивного противовеса в процессе подготовки и принятия бизнес-решений.
На текущий момент банки находятся на разных стадиях развития риск-культуры.
Период, последовавший за мировым финансовым кризисом 2008–2009 гг., стал началом перехода мировой банковской отрасли к сбалансированной риск-культуре. Получила развитие концепция аппетита к риску организации. Широкое внедрение метрик, сочетающих в себе риск и доходность, позволило существенно снизить градус конфликта между бизнес-функциями и функциями риск-менеджмента, объединив их общими целями на всех уровнях организационной иерархии [5, с. 96].
Но путь крупнейших мировых банков к сбалансированной риск-культуре оказался сложным. Одни банки преодолели трудности, другие вследствие недостатков риск-культуры прекратили свое существование.
Понятие риск-культуры в крупном банке более ориентированно на задачи, которые ставятся перед работниками в рамках системы управления рисками. Например, в ПАО Сбербанк риск-культура определяется как устоявшаяся в организации система норм поведения сотрудников, направленная на выявление рисков и управление ими. При этом разработана достаточно формализованная модель, состоящая из четырех областей, которая описывает этот инструмент и позволяет с ним работать – осознание риска, реагирование, уважение к клиенту, банку и себе, и полная прозрачность всех процессов.
Баллы по каждому критерию и общий итоговый балл за инструмент представлены в таблице 6.
Таблица 6 – Оценка инструмента риск-культуры
I1 | I2 | I3 | I4 | I5 | I6 | I7 | I8 | I9 | I10 | I11 | Итого |
1 | 4 | 7 | 3 | 2 | 6 | 2 | 6 | 6 | 4 | 3 | 3,8 |
Итоговая таблица эффективности инструментов (1 … 10) представлена в таблице 7.
Таблица 7 – Итоговая таблица эффективности инструментов
Показатель/метод | Результат интегрального показателя |
Экономический капитал | 4,05 |
Стресс-тестирование | 4,25 |
RAROC | 4,65 |
КИР | 5,40 |
Сценарный анализ | 3,8 |
Самооценка | 5,05 |
Риск-культура | 3,8 |
Заключение
Для каждого инструмента выведен интегральный показатель, который показывает насколько данный инструмент может быть эффективен и в первую очередь применен для оценки и улучшения системы банковского риск-менеджмента.
Главный вывод, который можно сделать из этих расчетов, что такой инструмент, как риск –культура, наименее развит и тем самым востребован сейчас на российском банковском рынке. Расчеты показали, что на текущий момент сильно доминируют формальные процедуры управления рисками, а неформальным уделяется только поверхностное внимание. Это объяснимо тем, что неформальные инструменты сложно параметризировать и применять какие-либо информационные технологии [6, с. 20]. Но для современных банков, ставящих перед собой задачи прогрессивных методов управления рисками, достигающих максимальной эффективности, необходимо развивать как формальные методы управления, так и неформальные, основанные на принципах и убеждениях.
Одним из главных и перспективных эффектов от развития банковской риск-культуры является совершенствование системы управления операционными рисками, т.к. именно такой вид риска, где проявляются особенности человеческих взглядов и ценностей как с положительной, так и с отрицательной стороны, можно минимизировать за счет развития инструментов той же природы воздействия [7, с. 83].
Для чего в банке проводится процедура самооценки
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
от 25 апреля 2022 г. N 716-Р-2021/63
ПО ОСУЩЕСТВЛЕНИЮ ОЦЕНКИ ЭФФЕКТИВНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ
В соответствии с пунктом 4.4 Положения Банка России от 08.04.2020 N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее — Положение N 716-П) уполномоченное подразделение кредитной организации должно проводить ежегодную оценку эффективности функционирования системы управления операционным риском, в том числе оценку эффективности выполнения принятых в кредитной организации (головной кредитной организации банковской группы) процедур управления операционным риском.
В связи с этим Банк России публикует рекомендации по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы), разработанные в соответствии с Положением N 716-П.
ПО ОСУЩЕСТВЛЕНИЮ ОЦЕНКИ ЭФФЕКТИВНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ
ОПЕРАЦИОННЫМ РИСКОМ В КРЕДИТНОЙ ОРГАНИЗАЦИИ (ГОЛОВНОЙ
КРЕДИТНОЙ ОРГАНИЗАЦИИ БАНКОВСКОЙ ГРУППЫ)
1. Цели и задачи аудита эффективности СУОР
1.1. В соответствии с требованиями Положения Банка России от 08.04.2020 N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее — Положение N 716-П) кредитной организации (головной кредитной организации банковской группы) (далее — кредитная организация) необходимо осуществлять ежегодную оценку эффективности функционирования системы управления операционным риском (далее — СУОР). Данную оценку рекомендуется осуществлять, в том числе на предмет:
— соответствия СУОР кредитной организации требованиям Банка России (Положения N 716-П, Положения Банка России от 07.12.2020 N 744-П «О порядке расчета размера операционного риска («Базель III») и осуществления Банком России надзора за его соблюдением» (далее — Положение N 744-П), пункту 11 и главе 4 приложения 1 к Указанию Банка России от 15.04.2015 N 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы» (далее — Указание N 3624-У)) и внутренних документов кредитной организации (стратегии управления рисками и капиталом кредитной организации, внутренних документов кредитной организации по функционированию СУОР);
— эффективности методов оценки операционного риска в кредитной организации, включая определение потребности в капитале, выделяемого на покрытие потерь от реализации событий операционного риска (далее — СОР);
— соблюдения процедур управления операционным риском, предусмотренных в главе 2 Положения N 716-П, а также идентификации системных проблем в их организации;
— корректности и полноты ведения базы событий, соответствия порядка ведения базы событий требованиям главы 6 Положения N 716-П;
— соответствия классификации СОР требованиям главы 3 Положения N 716-П;
— корректности классификации и оценки потерь и возмещений от реализации СОР, с учетом требований главы 3 и главы 6 Положения N 716-П;
— соблюдения требований главы 7 Положения N 716-П в части управления риском информационной безопасности;
— соблюдение требований главы 8 Положения N 716-П в части управления риском информационных систем;
— вовлеченности органов управления кредитной организации (совета директоров (наблюдательного совета), коллегиального исполнительного органа, специализированных комитетов и т.д.) в управление операционным риском, распределении полномочий и ответственности между руководителями по выполнению функций и задач СУОР;
— создания организационной структуры управления операционным риском, в которую вовлечены все структурные подразделения и работники кредитной организации, при этом управление операционным риском осуществляется ими неразрывно от исполнения своих основных функций, с учетом исключения конфликта интересов.
1.2. В случае подачи кредитной организацией уведомления о применении расчетного коэффициента внутренних потерь для расчета размера операционного риска в целях расчета нормативов достаточности капитала (далее — уведомление о применении расчетного КВП) в соответствии с требованиями Положения N 744-П, должно быть сформировано заключение:
— о соответствии СУОР кредитной организации требованиям Положения N 716-П;
— о полноте и точности информации, отраженной в базе событий, и корректности ведения базы событий за период, используемый для расчета расчетного КВП (далее — период расчета ПП);
— о соблюдении контрольных показателей уровня операционного риска (далее — КПУР), установленных абзацами седьмым и восьмым подпункта 1.1.1 пункта 1 приложения 1 к Положению N 716-П, за период расчета ПП.
Проверка должна быть завершена уполномоченным подразделением не более, чем за 3 месяца до даты направления кредитной организацией уведомления о применении расчетного КВП в Банк России.
2. Программа оценки эффективности СУОР кредитной организации
В программу оценки эффективности СУОР кредитной организации рекомендуется включать вопросы по следующим направлениям:
— оценка организации СУОР кредитной организации в соответствии с пунктом 2.1 настоящих разъяснений;
— оценка полноты регламентации СУОР во внутренних документах кредитной организации в соответствии с пунктом 2.2 настоящих разъяснений;
— оценка качества выполнения процедур управления операционным риском в соответствии с пунктом 2.3 настоящих разъяснений;
— оценка контроля за принятым объемом операционного риска в кредитной организации в соответствии с пунктом 2.4 настоящих разъяснений;
— оценка эффективности управления риском информационной безопасности в кредитной организации в соответствии с пунктом 2.5 настоящих разъяснений;
— оценка эффективности управления риском информационных систем в кредитной организации в соответствии с пунктом 2.6 настоящих разъяснений;
— оценка эффективности системы отчетов об управлении операционным риском в кредитной организации в соответствии с пунктом 2.7 настоящих разъяснений;
— оценка эффективности системы КПУР в соответствии с пунктом 2.8 настоящих разъяснений.
2.1. Оценка организации СУОР кредитной организации
В рамках оценки организации СУОР рекомендуется убедиться, что в СУОР кредитной организации вовлечены все структурные подразделения и сотрудники кредитной организации, управление операционным риском осуществляется ими неразрывно от исполнения своих основных функций, данные о СОР и потерях от реализации СОР охватывают всю деятельность кредитной организации, все подразделения, организационные, информационные и технологические системы и регионы присутствия кредитной организации.
Оценку организации СУОР кредитной организации рекомендуется осуществлять по следующим направлениям.
2.1.1. Участие совета директоров (наблюдательного совета) кредитной организации в функционировании СУОР путем:
— отражения соответствующих задач во внутренних документах кредитной организации (например, Уставе, Положении о совете директоров (наблюдательном совете));
— исполнения обязанности по рассмотрению отчетов, предусмотренных подпунктом 4.2.3 пункта 4.2 Положения N 716-П (возможно в составе отчетов по значимым рискам в рамках ВПОДК), а также результатов процедуры мониторинга операционного риска. В рамках данной оценки рекомендуется проводить анализ Протоколов решений на предмет наличия соответствующих поручений коллегиальным исполнительным органам кредитной организации, руководителю Службы внутреннего аудита, иным должностным лицам кредитной организации (в случае отражения в вышеуказанных отчетах информации о существенных СОР, негативных тенденциях уровня операционного риска, превышении целевых показателей КПУР и ключевых индикаторов риска (далее — КИР) и иных недостатков и нарушениях в функционировании СУОР);
— утверждения сигнальных и контрольных (далее — целевых) значений КПУР на плановый годовой период в целом по кредитной организации и выполнение иных функций, предусмотренных пунктом 5.2 Положения N 716-П;
— рассмотрения отчета о результатах оценки эффективности выполнения процедур управления операционным риском, проводимой в соответствии с пунктом 2.5 Положения N 716-П.
2.1.2. Участие коллегиального исполнительного органа кредитной организации в функционировании СУОР путем:
— отражения соответствующих задач во внутренних документах кредитной организации;
— исполнения обязанности по рассмотрению отчетов, предусмотренных подпунктами 4.2.2 и 4.2.3 пункта 4.2 Положения N 716-П (возможно в составе отчетов о значимых рисках в рамках ВПОДК). В рамках данной оценки рекомендуется проводить анализ Протоколов заседаний на предмет наличия соответствующих поручений руководителю Службы внутреннего аудита, иным должностным лицам кредитной организации в случае отражения в вышеуказанных отчетах информации о существенных СОР, негативных тенденциях уровня операционного риска, превышении целевых показателей КПУР и КИР и иных недостатков и нарушениях в функционировании СУОР;
— утверждения целевых значений КПУР в разрезе направлений деятельности, в том числе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса;
— утверждения плана проведения качественной оценки в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П;
— рассмотрения отчета о результатах оценки эффективности выполнения процедур управления операционным риском, производимой в соответствии с пунктом 2.5 Положения N 716-П;
— рассмотрения результатов анализа необходимости пересмотра требований политики управления операционным риском в соответствии с пунктом 4.6 Положения N 716-П;
— ежегодного принятия решения о необходимости внесения изменений во внутренние документы, указанные в подпунктах 4.1.2 и 4.1.3 пункта 4.1 Положения N 716-П.
2.1.3. Создание и функционирование подразделения, ответственного за организацию управления операционным риском, структурно входящего в службу управления рисками кредитной организации.
2.1.4. Назначение специализированных подразделений в значении, определенном в абзаце седьмом пункта 1.3 Положения N 716-П, в целях выполнения процедур управления операционным риском в части отдельных видов операционного риска, указанных в пункте 1.4 Положения N 716-П, или, в случае отсутствия специализированного подразделения по отдельному виду операционного риска, закрепление во внутренних документах кредитной организации функции по управлению данным видом операционного риска за службой управления рисками.
2.1.5. Определение во внутренних документах кредитной организации перечня процессов кредитной организации, отнесенных к направлениям деятельности, указанным в пункте 3.9 Положения N 716-П, с указанием уровня их критичности, функций подразделений, ответственных за осуществление операций и сделок и за результаты процесса, и подразделений — участников процессов в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П (далее — перечень процессов).
2.1.6. Назначение для каждого процесса кредитной организации в соответствии с перечнем процессов:
— центров компетенций в значении, определенном в абзаце восьмом пункта 1.3 Положения N 716-П, в том числе подразделений, ответственных за осуществление операций и сделок и за результаты процесса (далее — владельцы процесса);
— подразделений — участников процессов в значении, определенном в пункте 2.2 Положения N 716-П.
2.1.7. Определение порядка организации взаимодействия структурных подразделений кредитной организации, участвующих в управлении операционным риском (в том числе специализированных подразделений, центров компетенции и подразделения, ответственного за организацию управления операционным риском), включая порядок документооборота.
2.2. Оценка полноты регламентации СУОР во внутренних документах кредитной организации
В рамках оценки регламентации СУОР рекомендуется проверять наличие действующих и утвержденных советом директоров (наблюдательным советом), коллегиальным исполнительным органом или должностным лицом кредитной организации внутренних документов, регламентирующих процесс управления операционным риском в кредитной организации в соответствии с требованиями Положения N 716-П (далее — внутренние документы) <1>, а также наличие в данных внутренних документах следующей информации.
<1> Рекомендуемый перечень внутренних документов по управлению операционным риском в кредитной организации размещен на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «N 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «Разъяснения по формированию внутренних документов по управлению операционным риском».
2.2.1. Определение операционного риска в соответствии со значением, установленным в пункте 4.1 приложения 1 к Указанию N 3624-У, и видов операционного риска в соответствии с требованиями пункта 1.4 Положения N 716-П.
2.2.2. Отражение в Положениях о структурных подразделениях кредитной организации (в первую очередь, специализированных подразделений, центров компетенций, в том числе владельцев процессов, участников процессов) выполняемых ими функций и задач в рамках СУОР в соответствии с требованиями Положения N 716-П.
2.2.3. Определение полномочий руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственности за выявление операционного риска, присущего деятельности данных подразделений.
2.2.4. Определение требований к выполнению процедур управления операционным риском, указанных в главе 2 Положения N 716-П.
2.2.4.1. Определение требований к процедуре идентификации операционного риска в соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П, в том числе следующие:
— способы выполнения процедуры идентификации операционного риска в соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П;
— порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 Положения N 716-П.
2.2.4.2. Определение требований к процедуре сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П, в том числе следующие:
— способы выполнения процедуры сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П;
— центров компетенций (см. подпункт 2.1.6 пункта 2.1 настоящих разъяснений);
— правил предоставления информации об идентифицированных СОР центрами компетенций в подразделение, ответственное за организацию управления операционным риском, с учетом требований абзаца тринадцатого подпункта 2.1.2 пункта 2.1 Положения N 716-П;
— возложение на центры компетенций (их руководителей) ответственности за соблюдение целевых значений КПУР, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П, в разрезе центров компетенций.
2.2.4.3. Определение требований к процедуре определения потерь и возмещений потерь от реализации СОР в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П, в том числе следующие:
— способы выполнения процедуры определения потерь и возмещений потерь от реализации СОР в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П.
2.2.4.4. Определение требований к процедуре количественной оценки уровня операционного риска в соответствии с подпунктом 2.1.4 пункта 2.1 Положения N 716-П, в том числе следующие:
— способы выполнения процедуры количественной оценки уровня операционного риска, в том числе с использованием средств автоматизации, в соответствии с подпунктом 2.1.4 пункта 2.1 Положения N 716-П;
— методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска.
2.2.4.5. Определение требований к процедуре качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П, включая методы оценки и анализа вероятности реализации операционного риска, в том числе следующие:
— способы выполнения процедуры качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П;
— правила привлечения внешних экспертов к проведению качественной оценки уровня операционного риска;
— методы проведения процедуры качественной оценки уровня операционного риска, в том числе с использованием средств автоматизации;
— обязанность подразделения, ответственного за организацию управления операционным риском, по разработке плана проведения качественной оценки в значении, установленном в абзаце шестом подпункта 2.1.5 пункта 2.1 Положения N 716-П;
— требования к проведению самооценки операционного риска подразделениями кредитной организации, а также методика ее проведения, с учетом требований абзацев восьмого — тринадцатого подпункта 2.1.5 пункта 2.1 Положения N 716-П;
— требования к проведению профессиональной оценки уровня операционного риска и методика ее проведения в соответствии с требованиями абзацев четырнадцатого — пятнадцатого подпункта 2.1.5 пункта 2.1 Положения N 716-П;
— методика сценарного анализа операционных рисков и порядок его проведения.
2.2.4.6. Определение требований к процедуре выбора и применение способа реагирования на операционный риск в соответствии с подпунктом 2.1.6 пункта 2.1 Положения N 716-П, в том числе следующие:
— способы выполнения процедуры выбора и применения способа реагирования на операционный риск в соответствии с подпунктом 2.1.6 пункта 2.1 Положения N 716-П;
— порядок проведения процедуры выбора и применения способа реагирования на операционный риск, в том числе методы оценки стоимости выбранного способа реагирования.
2.2.4.7. Определение требований к процедуре мониторинга операционного риска в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П, в том числе следующие:
— способы выполнения процедуры мониторинга операционного риска в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П;
— правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска;
— требования к КИР и к их документированию, с учетом требований абзацев десятого — двадцатого подпункта 2.1.7 пункта 2.1 Положения N 716-П;
— периодичность проведения оценки в целях пересмотра КИР (не реже одного раза в год).
2.2.5. Утверждение классификатора СОР, соответствующего требованиям главы 3 Положения N 716-П и требованиям приложений 4 и 5 к Положению N 716-П.
2.2.6. Определение требований к дополнительным элементам СУОР, указанным в пункте 4.1 Положения N 716-П, включая следующие:
— утверждение перечня процессов в соответствии с требованиями подпункта 4.1.1 пункта 4.1 Положения N 716-П, с учетом рекомендаций, указанных в подпунктах 2.1.5 и 2.1.6 настоящих разъяснений;
— утверждение политики управления операционным риском и внутренних документов в соответствии с требованиями подпунктов 4.1.2 и 4.1.3 пункта 4.1 Положения N 716-П, с учетом рекомендаций, указанных в подпункте 2.1.8 пункта 2.1 настоящих разъяснений;
— определение подразделения кредитной организации уполномоченного, осуществлять оценку эффективности функционирования СУОР, и порядка проведения данной оценки, в соответствии с требованиями подпункта 4.1.4 пункта 4.1 Положения N 716-П;
— правила привлечения для оценки эффективности функционирования СУОР внешних экспертов и порядок проведения данной оценки организацией, осуществляющей внешний аудит в соответствии с требованиями подпункта 4.1.4 пункта 4.1 Положения N 716-П;
— комплекс мероприятий кредитной организации, направленных на повышение качества СУОР и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности СОР, и мероприятия, направленные на ограничение размера потерь от реализации СОР, в соответствии с подпунктом 4.1.5 пункта 4.1 Положения N 716-П;
— способы мотивации работников кредитной организации к участию в управлении операционным риском в соответствии с требованиями подпункта 4.1.6 пункта 4.1 Положения N 716-П, с учетом рекомендаций, указанных в подпункте 2.12.2.2 и 2.12.2.3 пункта 2.12 настоящих разъяснений;
— отчеты по операционному риску и информация о СОР, формируемые кредитной организацией в соответствии с пунктом 4.2 Положения N 716-П с учетом подпункта 2.2.7 пункта 2.2 настоящих разъяснений.
2.2.7. Определение требований к системе отчетов по операционному риску, с учетом пункта 4.2 Положения N 716-П, включая следующее.
2.2.7.1. В рамках ежедневного информирования в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П:
— определение в функционале подразделения, ответственного за организацию управления операционным риском, обязанности ежедневного информирования руководителя службы управления рисками о СОР, зарегистрированных в базе событий за отчетную дату (далее — ежедневное информирование о СОР), и в функционале руководителя службы управления рисками обязанности ежедневного рассмотрения вышеуказанной информации;
— порядок осуществления ежедневного информирования о СОР и критерии значимости СОР, включаемых в ежедневное информирование по операционному риску;
— порядок организации действий в случае применения программно-аппаратных средств, позволяющих обеспечить автоматизированное ежедневное информирование о СОР.
2.2.7.2. В рамках ежеквартального формирования отчетов, указанных в подпункте 4.2.2 пункта 4.2 Положения N 716-П (далее — ежеквартальные отчеты по операционному риску):
— определение в функционале подразделения, ответственного за организацию управления операционным риском, обязанности формирования и направления руководителю службы управления рисками ежеквартальных отчетов по операционному риску;
— определение в функционале коллегиальных исполнительных органов, уполномоченных на рассмотрение ежеквартальных отчетов по операционному риску, обязанности по их рассмотрению с учетом рекомендаций, указанных в подпункте 2.1.2 пункта 2.1 настоящих разъяснений;
— определение сроков рассмотрения коллегиальным исполнительным органом ежеквартальных отчетов по операционному риску в соответствии с требованиями подпункта 4.2.5 пункта 4.2 Положения N 716-П.
2.2.7.3. В рамках формирования отчета по управлению операционным риском за год в соответствии с требованиями подпункта 4.2.3 пункта 4.2 Положения N 716-П (далее — отчет по операционному риску за год):
— определение в функционале подразделения, ответственного за организацию управления операционным риском, обязанности формирования и направления руководителю службы управления рисками отчета по операционному риску за год;
— определение в функционале руководителя службы управления рисками, коллегиального исполнительного органа и совета директоров (наблюдательного совета) обязанности по рассмотрению отчета по операционному риску за год;
— порядок предоставления на рассмотрение совета директоров (наблюдательного совета) отчета по операционному риску за год и сроки его рассмотрения.
2.2.7.4. Определение методики и порядка составления отчетов по операционному риску, включая следующие элементы:
— форматы отчетов и состав содержащейся в них информации, с учетом требований к содержанию отчетов, указанных в подпунктах 4.2.2 и 4.2.4 пункта 4.2 Положения N 716-П;
— документооборот, сроки и потоки информации, необходимые для составления отчетов;
— ответственность подразделений и должностных лиц за полное, корректное и своевременное предоставление информации в подразделение, ответственное за организацию управления операционным риском, в целях составления отчетов;
— сроки предоставления отчетов на рассмотрение коллегиальным исполнительным органам и советом директоров (наблюдательным советом) кредитной организации;
— порядок и сроки хранения отчетов в соответствии с требованиями подпункта 4.2.5 пункта 4.2 Положения N 716-П.
2.2.8. Требования к информационной системе, обеспечивающей управление операционным риском, в соответствии с подпунктом 4.3.1 пункта 4.3 Положения N 716-П <2>.
<2> Обязательно для банков, размер активов которого составляет 500 миллиардов рублей и более, для иных кредитных организаций — в зависимости от характера и масштаба деятельности с учетом политики управления операционным риском кредитной организации.
2.2.9. Требования к управлению модельным риском в соответствии с подпунктом 4.3.2 пункта 4.3 Положения N 716-П <2>.
2.2.10. Определение показателей уровня операционного риска и порядка их соблюдения в соответствии с пунктом 4.5 Положения N 716-П.
2.2.11. Проведение подразделением, ответственным за организацию управления операционным риском, регулярного (не реже одного раза в год) анализа необходимости пересмотра требований политики управления операционным риском и внутренних документов кредитной организации.
Рекомендуется проводить путем проверки Протоколов заседаний уполномоченных коллегиальных исполнительных органов и совета директоров (наблюдательного совета) на наличие в них рассмотрения соответствующих вопросов.
2.2.12. Установление порядка ведения и использования базы событий (например, Порядком ведения базы событий <3>).
<3> Рекомендуемый перечень внутренних документов по управлению операционным риском в кредитной организации размещен на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «N 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «Разъяснения по формированию внутренних документов по управлению операционным риском».
2.2.12.1. Отражение во внутренних документах кредитной организации, регламентирующих порядок ведения базы событий, в том числе следующей информации:
— порядка ведения базы событий консолидировано по банковской группе с учетом потерь от реализации операционного риска у участников банковской группы, в соответствии с пунктом 6.3 Положения N 716-П;
— порога регистрации, установленного кредитной организацией для отражения в базе событий информации о СОР, в соответствии с пунктом 6.5 Положения N 716-П;
— требований к форме и содержанию вводимой информации, в соответствии с пунктом 6.6 Положения N 716-П;
— порядка учета величины валовых прямых потерь в соответствии с подпунктом 6.7.1 пункта 6.7 Положения N 716-П;
— порядка идентификации прямых потерь и возмещений в разрезе всех СОР, повлекших потери, в соответствии с подпунктом 6.7.2 пункта 6.7 Положения N 716-П;
— критериев однородности СОР для целей их группировки в соответствии с пунктом 6.12 Положения N 716-П;
— порядка контроля за своевременностью отражения возмещения потерь от реализации СОР в соответствии с пунктом 6.16 Положения N 716-П;
— порядка верификации корректности исправления записи в базе событий в соответствии с пунктом 6.20 Положения N 716-П;
— перечня должностей работников кредитной организации, ответственных за выполнение функций, указанных в пункте 6.21 Положения N 716-П.
2.2.12.2. Установление внутренними документами кредитной организации способов мотивации работников кредитной организации к своевременному информированию о реализованных и возможных СОР, (дополнительно см. пункт 5.1 настоящих разъяснений), например, в том числе:
— определение мер ответственности работников кредитной организации за неинформирование или несвоевременное информирование о СОР, о котором им стало известно.
В случае выявления факта не уведомления о СОР, нарушения сроков уведомления, не регистрации или несвоевременной регистрации СОР к допустившим нарушения работникам кредитной организации должны применяться меры дисциплинарной ответственности в соответствии с установленным в кредитной организации порядком. Руководитель риск-координатора несет ответственность за организацию и контроль своевременного предоставления информации об инциденте операционного риска и в случае выявления факта непредоставления и (или) несвоевременного предоставления риск-координатором информации об инциденте операционного риска риск-менеджеру в отношении руководителя риск-координатора также применяются меры дисциплинарного взыскания в соответствии с установленным в кредитной организации порядком;
— определение инструментов поощрения за инициативное информирование работниками кредитной организации о выявленных ими СОР.
2.2.12.3. Установление внутренними документами кредитной организации ответственности руководителей центров компетенций, в том числе владельцев процессов, кредитной организации за выявление и регистрацию СОР, возникающих в рамках их процессов, в соответствии с пунктом 1.3 и подпунктом 2.1.2 пункта 1.2 Положения N 716-П, в том числе:
— за назначение в каждом подразделении, входящем в состав возглавляемого ими структурного подразделения уполномоченных сотрудников за выявление СОР (далее — риск-координаторов), ответственных за осуществление идентификации, оценки, мониторинга и контроля операционного риска в рамках осуществления текущей деятельности подразделений и бизнес-процесса в соответствии с пунктом 6.21 Положения N 716-П. Риск-координатор должен быть назначен соответствующим распорядительным документом кредитной организации для каждого центра компетенции, в том числе владельца процесса. Список риск-координаторов должен быть актуален;
— за поддержание списков риск-координаторов в актуальном состоянии и за своевременное информирование подразделения рисков об изменениях в них;
— за организацию информационного обмена о произошедших СОР в соответствии с абзацем тринадцатым подпункта 2.1.2 пункта 2.1 Положения N 716-П;
— за возложение на риск-координаторов ответственности за информирование администраторов базы событий и риск-менеджеров (экспертов) подразделений, осуществляющих оценку потерь от СОР, и за мониторинг операционного риска.
2.2.12.4. Установление внутренними документами кредитной организации, регулирующими сбор данных о событиях не только операционных, но и иных видов нефинансовых рисков (в случае если события связаны с операционным риском) требований к регистрации событий по данным видам рисков в базах событий соответствующих видов рисков в соответствии с требованиями пунктов 6.9 — 6.10 Положения N 716-П, в том числе с учетом следующего:
— события нефинансовых рисков, связанные с операционным риском, подлежат регистрации в базах событий с учетом порога регистрации, устанавливаемого для событий операционного риска во внутренних документах кредитной организации в соответствии с пунктом 6.5 Положения N 716-П;
— в базе событий подлежат регистрации события риска информационной безопасности и риска информационных систем со статусами качественной оценки «очень высокий» или «высокий» (независимо от времени простоя);
— рекомендуется осуществлять анализ предъявленных к кредитной организации исков, на предмет выявления связанных с операционным риском, свыше порога, установленными внутренними документами кредитной организации (например, 100 тыс. руб. и более).
Указанные критерии являются минимальными: риск-координаторы вправе информировать риск-менеджеров СУОР об инцидентах операционного риска с суммой ущерба менее указанных пороговых значений, если это способствует эффективному управлению операционными рисками.
2.2.13. Установление требований к системе контрольных показателей уровня операционного риска, в том числе:
— определение на плановый годовой период перечня КПУР в соответствии с приложением 1 к Положению N 716-П;
— установление целевых значений КПУР в соответствии с пунктом 5.2 Положения N 716-П;
— методика учета недостающих данных, в случае если период ведения базы событий кредитной организации составляет менее 10 лет;
— оформление расчета и обоснования сигнальных и контрольных значений КПУР в виде заключения с учетом требований пункта 5.3 Положения N 716-П;
— порядок действий должностных лиц, функции и ответственность органов управления и подразделений кредитной организации и иные требования в соответствии с пунктом 5.4 Положения N 716-П, в том числе в случае нарушения контрольных значений КПУР.
2.2.14. Установление требований к управлению риском информационной безопасности, в том числе определение:
— порядка управления риском информационной безопасности;
— порядка ведения базы событий риска информационной безопасности, в том числе соблюдение требований к классификации событий риска информационной безопасности в соответствии с пунктами 3.3 — 3.15 Положения N 716-П и требований к ведению базы событий в соответствии с пунктами 6.6 — 6.21 Положения N 716-П;
— порядка функционирования системы информационной безопасности в соответствии с требованиями пункта 7.7 Положения N 716-П;
— политики информационной безопасности, содержание которой соответствует требованиям пункта 7.8 Положения N 716-П, утвержденной коллегиальным исполнительным органом кредитной организации;
— порядка и сроков предоставления отчетов, указанных в пункте 7.10 Положения N 716-П;
— закрепление за службой информационной безопасности или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности (далее — служба информационной безопасности), функций, указанных в пункте 7.9 Положения N 716-П.
2.2.15. Установление требований к управлению риском информационных систем, в том числе определение:
— порядка управления риском информационных систем в соответствии с требованиями пункта 8.1 Положения N 716-П;
— политики информационных систем в соответствии с требованиями пункта 8.2 Положения N 716-П, содержание которой соответствует требованиям пункта 8.3 Положения N 716-П, утвержденной коллегиальным исполнительным органом кредитной организации;
— порядка и правил проведения анализа и пересмотра политики информационных систем;
— перечня информационных систем в соответствии с пунктом 8.5 Положения N 716-П;
— требований к информационным системам в соответствии с подпунктами 8.7.1 — 8.7.8 пункта 8.7 Положения N 716-П;
— методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, в соответствии с подпунктом 8.7.5 пункта 8.7 Положения N 716-П;
— порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, в соответствии с подпунктом 8.7.6 пункта 8.7 Положения N 716-П;
— требований по обеспечению непрерывности и качества функционирования информационных систем в соответствии с подпунктами 8.8.1 — 8.8.13 пункта 8.8 Положения N 716-П;
— обязанностей, полномочий, требований к квалификации, ответственности за результаты функционирования должностного лица (лица, его замещающего), ответственного за обеспечение функционирования информационных систем кредитной организации и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, в соответствии с пунктами 8.3 и 8.4 Положения N 716-П (далее — должностное лицо, ответственное за информационные системы), должностного лица (должностные лица), несущего (несущих) персональную ответственность за обеспечение качества данных в информационных системах, в соответствии с подпунктом 8.7.6 пункта 8.7 Положения N 716-П, и должностного лица, ответственного за обеспечение непрерывности функционирования информационных систем, в соответствии с подпунктами 8.8.10 и 8.8.11 пункта 8.8 Положения N 716-П.
2.3. Оценка качества выполнения процедур управления операционным риском
2.3.1. Процедура идентификации операционного риска в соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П
Способы идентификации операционного риска, указанные в подпункте 2.1.1 пункта 2.1 Положения N 716-П, разделяются на следующие направления деятельности.
2.3.1.1. Анализ фактически реализовавшихся СОР в разрезе направлений деятельности, процессов, в рамках которого рекомендовано убедиться, что в кредитной организации существует регулярная процедура анализа динамики показателей операционного риска, указанных в подпункте 4.2.4 пункта 4.2 Положения N 716-П, и, в случае наблюдения негативной динамики вышеуказанных показателей операционного риска, применяется процедура выбора и применения способа реагирования на операционный риск, указанная в подпункте 2.1.6 пункта 2.1 Положения N 716-П.
2.3.1.2. Выявление латентных рисков, то есть выявление скрытых источников потенциальной реализации операционного риска путем анализа недостатков бизнес-процессов.
В ходе проверки реализации в кредитной организации данного способа рекомендуется убедиться в том, что:
— внутренними документами кредитной организации утверждены методика и порядок проведения процедуры самооценки операционного риска, определено подразделение кредитной организации, ответственное за поддержание данной методики и порядка в актуальном состоянии;
— в кредитной организации осуществляется утверждение плана проведения качественной оценки операционного риска в соответствии с требованиями подпункта 2.1.5 пункта 2.1 Положения N 716-П и разработан порядок (подходы) формирования данного плана, включая периодичность;
— проведение качественной оценки (например, самооценки операционного риска) включено в обязанности руководителей подразделений (центров компетенций, в том числе владельцев процессов, участников процессов) в соответствии с пунктом 2.2 Положения N 716-П;
— в кредитной организации разработан и утвержден формат формализованной анкеты проведения самооценки операционного риска и существует процедура настройки вопросов анкеты под специфику конкретного процесса и участвующих подразделений заранее перед началом проведения самооценки операционного риска по данному процессу в соответствии с планом проведения оценки;
— в кредитной организации разработана и утверждена методика обработки и анализа заполненных анкет самооценки операционного риска и формирования отчета о результатах.
2.3.1.3. Кроме вышеуказанных способов идентификации операционного риска, рекомендуется применять следующие способы идентификации операционного риска, указанные в подпункте 2.1.1 пункта 2.1 Положения N 716-П, в том числе:
— интервью с работниками, в том числе руководством;
— анализ актов проверок, судебных актов и (или) актов исполнительных органов государственной власти;
— анализ информации внутреннего и внешнего аудита;
— анализ информации работников кредитной организации, полученной в рамках инициативного информирования.
2.3.2. Процедура сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П
Оценку эффективности проведения процедуры сбора и регистрации информации о СОР в кредитной организации следует осуществлять по следующим направлениям:
— выполнение кредитной организацией способов выполнения процедуры сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П и внутренними документами кредитной организации, с учетом подпунктов 2.2.12.1 — 2.2.12.4 пункта 2.2 настоящих разъяснений;
— качество ведения базы событий операционного риска в кредитной организации.
При проведении оценки качества ведения базы событий рекомендуется учитывать следующее.
2.3.2.1. Соблюдение требований к информационной системе, обеспечивающей управление операционным риском, в том числе:
— сохранность данных и их защиту от искажений в соответствии с требованиями пункта 1.3 Положения N 716-П;
— соблюдение требований к информационным системам в соответствии с главой 7 Положения N 744-П, в том числе к обеспечению качества данных в информационной системе, указанных в подпункте 8.7.4 пункта 8.7 Положения N 716-П. В рамках проверки вышеуказанных требований рекомендуется осуществить проверку документов о приемке в эксплуатацию вышеуказанной информационной системы.
2.3.2.2. Полноту ведения базы событий, с учетом требований пункта 6.4 Положения N 716-П, в том числе с учетом следующего.
Допускается проведение выборочной проверки, при этом объем выборки должен быть достаточным для обеспечения репрезентативности выборки в соответствии с международными стандартами аудита.
В целях оценки полноты информации за проверяемый период об инцидентах, которые могут нести признаки СОР, рекомендуется получать информацию из различных источников, в том числе:
— AC Fraud detection;
— журналы регистраций обращений и жалоб физических и юридических лиц;
— акты служебных расследований;
— акты проверок внешних надзорных органов (например, Банка России, Минфина, Роспотребнадзора, ФАС и др.);
— журналы учета инцидентов риска информационной безопасности и риска информационных систем;
— журналы учета ДТП с участием спецавтотранспорта кредитной организации;
— распорядительные документы кредитной организации в части дисциплинарных взысканий по работникам;
При осуществлении проверки полноты учета прямых потерь от реализации СОР рекомендуется осуществить процедуру сверки выписок по счетам бухгалтерского учета расходов/убытков и приравненных к ним счетам дебиторской задолженности на предмет выявления в них бухгалтерских записей, которые могут идентифицироваться как потери от СОР и их сверки наличия в базе событий. В этих целях рекомендуется:
— определить перечень балансовых счетов по операциям учета потерь и возмещения потерь от реализации СОР для включения в выборку проверки. Сформировать выгрузку необходимых данных из АБС (за проверяемый период);
— сформировать выгрузку данных из базы событий по СОР с прямыми потерями либо находящимся в процессе оценки (за проверяемый период);
— осуществить анализ полученных данных.
При выявлении фактов расхождения данных выписок из АБС и базы событий в части учета прямых потерь от операционного риска и (или) несоблюдения установленных сроков отражения информации о погашении в базе событий рекомендуется установить причины возникновения данных отклонений и ответственные подразделения.
По результатам проведенной оценки полноты базы событий рекомендуется рассчитать КПУР показатели доли пропусков, определенные абзацами шестым и седьмым подпункта 1.1.1 пункта 1.1 приложения 1 к Положению N 716-П в разрезе процессов.
В случае выявления СОР, не зарегистрированных или несвоевременно зарегистрированных в базе событий, рекомендуется установить причины и виновных лиц (сотрудник подразделения, риск-координатор и (или) риск-менеджер, и руководитель подразделений владельца процесса или центра компетенции, который должен был выявить данное СОР).
2.3.2.3. Соответствие классификатора СОР, применяемого при регистрации СОР в базе событий, требованиям к классификации в разрезе элементов, указанным в главе 3 Положения N 716-П, корректность проведения классификации.
2.3.2.4. Соблюдение порядка ведения и использования базы событий, утвержденного внутренними документами кредитной организации.
2.3.2.5. Наличие в базе событий всей информации, предусмотренной пунктом 6.6 Положения N 716-П.
2.3.2.6. Ведение базы событий на постоянной основе, в том числе рекомендуется проверить:
— соблюдение сроков регистрации СОР требованиям внутренних документов кредитной организации и требованиям абзаца тринадцатого подпункта 2.1.2 пункта 2.1 Положения N 716-П;
— своевременность выявления и учета возмещений.
2.3.2.7. Соблюдение правил работы с персональными данными (например, в поле «Подробное описание события» могут быть включены ФИО клиента и (или) виновного работника, но не допускается отражение персональных данных клиентов либо работников).
2.3.2.8. Обоснованность удаления (исправления) информации из базы событий о СОР (например, в случае если зарегистрированное в базе событий СОР не подтвердилось в процессе расследования). Во внутренних документах кредитной организации должно быть указано требование, что при удалении СОР из базы событий риск-менеджеру необходимо в обязательном порядке в поле «Комментарии» указать обоснование его удаления, также должно быть соблюдено требование о логировании записей в базе событий.
2.3.3. Процедура оценки потерь и возмещений от реализации СОР в кредитной организации в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П
В рамках оценки потерь и возмещений рекомендуется убедиться в том, что:
— оценка потерь от реализации СОР: прямых и непрямых потерь (косвенных, качественных и потенциальных) осуществляется в соответствии с методикой, утвержденной внутренними документами кредитной организации;
— методология оценки потерь операционного риска охватывает анализ всех возможных видов потерь, присущих данному СОР (например, рекомендуется вести каталоги типовых СОР с примерами классификации видов возможных потерь и способов их выявления);
— соблюдаются требования абзаца восьмого подпункта 2.1.3 пункта 2.1 Положения N 716-П о назначении экспертов для оценки потерь от реализации СОР в разрезе бизнес-процессов и типов потерь;
— соблюдается принцип разграничения конфликта интересов при назначении экспертов для оценки потерь (например, оценку потерь от СОР не должен осуществлять сотрудник подразделения — владельца процесса, на финансовый результат которого относятся данные потери);
— кредитная организация регулярно вносит изменения в методологию оценки потерь от операционного риска по результатам проведенной оценки ее эффективности.
2.3.4. Процедура количественной оценки уровня операционного риска в соответствии с подпунктом 2.1.4 пункта 2.1 Положения N 716-П
В рамках оценки выполнения процедуры количественной оценки уровня операционного риска рекомендуется убедиться, что служба управления рисками кредитной организации проводит количественную оценку уровня операционного риска в части оценки ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, по которым наблюдается статистика СОР, в целях покрытия этих потерь за счет ценообразования услуг и тарифов (при наличии).
2.3.5. Процедура качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П
В рамках оценки выполнения процедуры качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П рекомендуется убедиться, что:
— подразделение, ответственное за организацию управления операционным риском, ежегодно разрабатывает план проведения качественной оценки и утверждает его на уровне коллегиального исполнительного органа кредитной организации;
— самооценка операционного риска проводится кредитной организацией в отношении всех видов операционного риска в соответствии с планом ее проведения (не реже одного раза в год) в соответствии с требованиями абзаца восьмого подпункта 2.1.5 пункта 2.1 Положения N 716-П и установленной во внутренних документах методикой;
— профессиональная оценка уровня операционного риска осуществляется с соблюдением требований к процедуре и методам ее проведения, установленным во внутренних документах кредитной организации;
— сценарный анализ операционных рисков осуществляется в соответствии с методикой и порядком его проведения, установленными внутренними документами.
Аудитору рекомендуется собирать и документировать аудиторские доказательства, подтверждающие его выводы, например, следующие:
— план проведения качественной оценки, утвержденный коллегиальным органом кредитной организации;
— отчеты о проведении оценки по каждому процессу, включенному в план;
— протоколы заседания коллегиального исполнительного органа, на которых рассматривались отчеты и утверждались результаты;
— поручения, которые были подготовлены по результатам рассмотрения отчетов о самооценке и др.
Аудитору рекомендуется документировать выявленные недостатки и нарушения в каждом внутреннем документе, подтверждать их аудиторскими доказательствами.
2.3.6. Процедура выбора и применения способа реагирования на операционный риск в соответствии с подпунктом 2.1.6 пункта 2.1 Положения N 716-П
В рамках оценки выполнения процедуры выбора и применения способа реагирования рекомендуется убедиться, что выбор и применение способа реагирования на операционный риск по результатам проведения качественной оценки операционного риска осуществляется в сроки, установленные для этой процедуры во внутренних документах, с учетом требований абзаца первого подпункта 2.1.6 пункта 2.1 Положения N 716-П (рекомендуем ориентироваться на срок не более трех месяцев со дня проведения оценки уровня операционного риска).
2.3.7. Процедура мониторинга операционного риска в кредитной организации в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П
Мониторинг операционного риска осуществляется на базе системы КИР в значении, установленном в абзаце четвертом подпункта 2.1.1 пункта 2.1 Положения N 716-П, показателей или параметров, которые теоретически или эмпирически связаны с уровнем операционного риска на соответствующих процессах кредитной организации.
Мониторинг операционного риска заключается в том числе в контроле выполнения мероприятий, направленных на повышение качества СУОР и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) СОР, и мероприятия, направленные на ограничение размера потерь от реализации СОР, определенных в подпункте 4.1.5 пункта 4.1 Положения N 716-П.
В целях оценки эффективности проведения процедуры мониторинга операционного риска рекомендуется учитывать следующее:
— проведение постоянного мониторинга фактических значений КИР на предмет превышения их сигнальных и контрольных значений в соответствии с процедурой и периодичность, установленными внутренними документами кредитной организации;
— включение результатов процедуры мониторинга операционного риска в состав ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацами вторым и третьим подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 Положения N 716-П;
— в кредитной организации разработана процедура реагирования в случае превышения фактических значений КИР над пороговыми значениями;
— проведение периодической (не реже одного раза в год) оценки необходимости пересмотра КИР.
2.4. Оценка контроля за принятым объемом операционного риска в кредитной организации
2.4.1. В соответствии с пунктом 3.4 Указания N 3624-У кредитной организации в целях осуществления контроля за принятыми объемами значимых рисков необходимо:
— определить плановые (целевые) уровни рисков, целевую структуру рисков и систему лимитов, а также процедуры контроля за соблюдением установленных лимитов;
— осуществлять контроль за значимыми рисками путем сопоставления их объемов с установленными лимитами (целевыми уровнями рисков).
Для этого в отношении операционного риска в пункте 4.5 Положения N 716-П определен перечень показателей, характеризующих объемы операций, подверженных операционному риску за определенный период (день, неделя, месяц, квартал, полугодие, девять месяцев, год) (далее — показателей объема операционного риска). На основе которых кредитная организация в целях осуществления контроля за объемом операционного риска, принятым в кредитной организации, разрабатывает и устанавливает плановые (целевые) показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов.
В ходе проверки аудитору рекомендуется убедиться, что:
— для всех направлений деятельности, в том числе в разрезе составляющих их процессов, кредитной организации определен хотя бы один показатель объема операционного риска в соответствии с пунктом 4.5 Положения N 716-П;
— для каждого показателя объема операционного риска установлено целевое (плановое) значение;
— на ежеквартальной основе проверяется соответствие фактического значения данного показателя принятым в кредитной организации целевым (плановым) значениям;
— в кредитной организации определены меры в случае нарушения целевых значений (например, предусмотрена процедура пересмотра целевых значений и, соответственно, показателей бизнес-плана кредитной организации).
2.4.2. В соответствии с главой 4 Указания N 3624-У в целях обеспечения устойчивого функционирования на непрерывной основе в долгосрочной перспективе кредитной организации необходимо определять склонность к риску (аппетит к риску).
Склонность к риску должна определяться:
— стратегией управления рисками и капиталом кредитной организации (головной кредитной организации банковской группы) на уровне кредитной организации (банковской группы) в разрезе направлений деятельности кредитной организации (дочерней кредитной организации);
— в виде совокупности количественных и качественных показателей.
В соответствии с пунктом 4.3 Указания N 3624-У кредитная организация самостоятельно осуществляет выбор показателей склонности к риску. Вышеуказанные показатели склонности к риску могут совпадать (полностью или частично) с контрольными показателями уровня операционного риска, приведенными в приложении 1 к Положению N 716-П.
В ходе проверки аудитору рекомендуется убедиться в том, что в кредитной организации:
— определены показатели склонности к риску по операционному риску и значения их границ и (или) лимитов как для кредитной организации (банковской группы) в целом, так и в разрезе направлений деятельности и, как минимум, критически важных процессов;
— показатели синхронизированы с контрольными показателями уровня операционного риска, приведенными в приложении 1 Положения N 716-П (в случае если отдельные показатели склонности совпадают с КПУР);
— показатели склонности к риску по операционному риску (в том числе их границы и (или) лимиты) утверждены решением совета директоров (наблюдательного совета) кредитной организации;
— соблюдаются требования к определению перечня КПУР и их целевой (плановый) уровень операционного риска, его значения утверждены решением совета директоров (наблюдательного совета) кредитной организации;
— осуществляется контроль за соблюдением установленных границ и (или) лимитов показателей склонности к риску по операционному риску и целевого (планового) уровня операционного риска;
— на ежеквартальной основе проверяется соблюдение установленных показателей, включение их значений в отчеты кредитной организации.
2.5. Оценка эффективности управления риском информационной безопасности в кредитной организации
В целях оценки эффективности управления риском информационной безопасности в кредитной организации рекомендуется учитывать следующее:
— обеспечение выполнения порядка функционирования системы информационной безопасности, определенного внутренними документами кредитной организации, с учетом требований пунктов 7.6 — 7.7 Положения N 716-П;
— распределение функций и ответственности совета директоров (наблюдательного совета), коллегиального исполнительного органа и работников кредитной организации в рамках организационной структуры обеспечения информационной безопасности, в том числе исключающее конфликт интересов;
— выполнение службой информационной безопасности функций, определенных во внутренних документах кредитной организации, с учетом требований пункта 7.9 Положения N 716-П;
— формирование службой информационной безопасности специализированных отчетов по рискам информационной безопасности в соответствии с пунктом 7.10 Положения N 716-П, а также соблюдение порядка и сроков предоставления данных отчетов на рассмотрение;
— соблюдение требований ведения базы событий риска информационной безопасности требованиям пункта 6.9 положения N 716-П (в случае ведения в кредитной организации базы событий риска информационной безопасности раздельно с базой событий операционного риска);
— соблюдение требований к порядку предоставления данных о прямых потерях от реализации событий риска информационной безопасности для регистрации в базе событий операционного риска в соответствии с пунктом 6.10 Положения N 716-П (в случае ведения в кредитной организации базы событий риска информационной безопасности раздельно с базой событий операционного риска).
2.6. Оценка эффективности управления риском информационных систем в кредитной организации
В целях оценки эффективности управления риском информационных систем в кредитной организации рекомендуется учитывать следующее:
— обеспечение функционирования системы управления риском информационных систем;
— соблюдение требований к информационным системам, определенных во внутренних документах кредитной организации, в соответствии с подпунктами 8.7.1 — 8.7.8 пункта 8.7 Положения N 716-П;
— проведение не реже одного раза в год анализа необходимости пересмотра требований к информационным системам в соответствии с требованиями подпункта 8.7.8 пункта 8.7 Положения N 716-П;
— соблюдение требований по обеспечению непрерывности и качества функционирования информационных систем, определенных во внутренних документах кредитной организации, в соответствии с подпунктами 8.8.1 — 8.8.13 пункта 8.7 Положения N 716-П;
— соблюдение требований ведения базы событий риска информационных систем требованиям пункта 6.9 положения N 716-П (в случае ведения в кредитной организации базы событий риска информационных систем раздельно с базой событий операционного риска);
— соблюдение требований к порядку предоставления данных о прямых потерях от реализации событий риска информационных систем для регистрации в базе событий операционного риска в соответствии с пунктом 6.10 Положения N 716-П (в случае ведения в кредитной организации базы событий риска информационных систем раздельно с базой событий операционного риска);
— обеспечение проведения мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, в соответствии с пунктом 6.7 Положения N 716-П;
— соблюдение требований к информационным системам в соответствии с пунктом 8.7 Положения N 716-П;
— назначено ли в кредитной организации должностное лицо, ответственное за информационные системы, должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах, и должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем (согласно разъяснениям, размещенным на официальном сайте Банка России <4>, для кредитных организаций в зависимости от характера и масштабов деятельности возможно совмещение этих функций).
<4> В разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «N 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «Об управлении риском информационных систем».
2.7. Оценка эффективности системы отчетов об управлении операционным риском в кредитной организации
2.7.1. Система отчетности об управлении операционным риском в кредитной организации состоит из следующих отчетов:
— внутренние отчеты по операционному риску, формируемые в соответствии с подпунктами 4.2.2 — 4.2.4 пункта 4.2 Положения N 716-П, включая информацию о результатах проведения процедур управления операционным риском, формируемую в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П;
— отчеты в рамках ВПОДК;
— отчетность по регуляторной форме, представляемая в Банк России (отчетность по форме 0409106 «Отчет по управлению операционным риском в кредитной организации», установленная Указанием Банка России от 08.10.2018 N 4927-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации») <5>;
<5> Вступает в силу с 01.10.2022.
— специализированные отчеты по риску информационной безопасности, формируемые в соответствии с пунктом 7.10 Положения N 716-П и соответствующими нормативными актами по информационной безопасности;
— отчеты по рекомендуемым образцам, формируемым в соответствии с Положением N 744-П.
2.7.2. В рамках оценки эффективности системы отчетов по операционному риску кредитной организации аудитору рекомендуется убедиться в том, что:
— отчеты, указанные в подпункте 2.7.1 настоящего пункта (далее — отчеты), формируются подразделением, ответственным за организацию управления операционным риском, в сроки, установленные во внутренних документах кредитной организации;
— отчеты рассматриваются руководителем службы управления рисками, коллегиальным исполнительным органом кредитной организации, советом директоров (наблюдательным советом) в сроки, установленные во внутренних документах кредитной организации, с учетом требований подпункта 4.2.5 пункта 4.2 Положения N 716-П;
— на основании информации, изложенной в отчетах, принимаются соответствующие решения, издаются поручения по разработке мероприятий, направленных на повышение качества СУОР и уменьшение негативного влияния операционного риска, с указанием ответственных за реализацию мероприятий подразделений и сроков выполнения, исполнение которых должным образом контролируется;
— содержание отчетов соответствует характеру и масштабу деятельности кредитной организации и объективно отражает ее уровень операционного риска;
— состав информации, отражаемой в ежеквартальных отчетах по ОР и отчете по управлению операционным риском за год, соответствует требованиям подпункта 4.2.2 и 4.2.4 пункта 4.2 Положения N 716-П.
2.8. Оценка эффективности системы КПУР
В рамках оценки эффективности системы КПУР рекомендуется убедиться в том, что:
— перечень КПУР и их целевые значения утверждены:
советом директоров (наблюдательным советом) в целом по кредитной организации;
коллегиальными исполнительными органами в разрезе направлений деятельности, в том числе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса, с учетом требований пунктов 5.2 и 5.3 Положения N 716-П. Кредитная организация вправе группировать процессы, не отнесенные к критически важным и основным процессам в соответствии с подпунктом 4.1.1. пункта 4.1 Положения N 716-П, в целях установления единого КПУР для данной группы.
— целевые значения КПУР рассчитаны корректно, в соответствии с требованиями приложения 1 к Положению N 716-П и внутренними документами кредитной организации, в том числе методикой и обоснованием их расчета (возможно на основании выборочной проверки). Рекомендуется проверить возможность отклонения значений КПУР от установленных значений на практике;
— осуществляется регулярный мониторинг соблюдения целевых значений КПУР и, в случае превышения сигнального или контрольного значения КПУР предпринимаются соответствующие меры по реагированию в соответствии с требованиями пунктов 5.1 и 5.4 Положения N 716-П и внутренних документов кредитной организации;
— данные о фактических значениях КПУР включаются в состав отчетов по операционному риску, указанных в подпункте 4.2.2 пункта 4.2 Положения N 716-П.
3. Шкала оценки эффективности СУОР
В завершении по каждому блоку проверки аудитору рекомендуется указать качественную оценку соответствия блока проверки требованиям Положения N 716-П, по 4-балльной системе:
— 1 балл — полностью соответствует;
— 2 балла — в целом соответствует с отдельными несущественными нарушениями;
— 3 балла — соответствует не полностью, так как выявлены существенные отклонения и нарушения, требующие серьезной переработки (реинжиниринга) выполнения процедуры, например, вовлечения в нее всех участвующих подразделений;
— 4 балла — не соответствует в целом.
После этого в соответствии с установленной во внутренних документах методикой аудитору рекомендуется:
определить средневзвешенную оценку (по весам значимости блоков проверки) эффективности системы управления операционным риском и соответствия системы управления операционным риском кредитной организации требованиям Положения N 716-П;
сформулировать выводы (результаты проверки) и рекомендации органам управления кредитной организации и должностным лицам.
4. Дополнительные области оценки эффективности СУОР
Дополнительные области оценки эффективности СУОР могут включаться выборочно в программу проверки с определенной периодичностью (например, раз в три года).
4.1. Проверка системы мотивации работников к участию в системе управления операционным риском
В целях повышения заинтересованности руководителей и работников подразделений в эффективном функционировании системы управления операционным риском в подпункте 4.1.6 пункта 4.1 Положения N 716-П установлены требования по созданию в кредитной организации соответствующей системы мотивации. Например, путем определения ключевых показателей эффективности (далее — КПЭ) «Снижение уровня операционного риска по бизнес-процессу», «Доля пропусков событий операционного риска по бизнес-процессу и (или) центру компетенций».
В качестве количественного показателя уровня операционного риска может приниматься сумма прямых и косвенных потерь от реализации операционного риска либо сумма чистых прямых от реализации операционного риска с учетом возмещения (указанные данные могут быть определены на основании базы событий).
Аудитору в ходе проверки рекомендуется выявлять, например, следующее:
— наличие порядка расчета и мониторинга фактических значений установленных КПЭ на регулярной основе (например, ежеквартальной или годовой);
— наличие соответствующих требований во внутренних документах, например, в положении кредитной организации о нефиксированной части вознаграждения в соответствии с Инструкцией Банка России от 17.06.2014 N 154-И «О порядке оценки системы оплаты труда в кредитной организации и порядке направления в кредитную организацию предписания об устранении нарушения в ее системе оплаты труда»;
— наличие иных форм и способов поощрения (например, целевой премиальный фонд руководителя службы управления рисками, не денежные формы поощрения, конкурсы и др.);
— при выявлении недостаточной системы мотивации аудитору рекомендуется включать в отчет соответствующие рекомендации для подразделения кадровой политики.
В ходе аудита рекомендуется экспертно оценить наличие, например, следующих недостатков:
— позволяющих манипулировать результатами выполнения КПЭ и (или) оценочного показателя «Уровень операционного риска» и (или) иных КПЭ;
— способных снижать эффективность мер, принимаемых кредитной организацией в целях мотивации владельцев процессов и специализированных подразделений по снижению операционного риска.
4.2. Проверка обеспечения профессиональной подготовки работников по вопросам в области операционного риска
Обеспечение надлежащего уровня риск-культуры и профессиональной подготовки работников в области операционного риска позволяет кредитным организациям более эффективно работать на предупреждение и выявление СОР. Рекомендуется, чтобы проводимая профессиональная подготовка учитывала стаж работы, роли и обязанности работников, для которых она предназначена.
Для целей обеспечения устойчивого и эффективного функционирования всей системы управления рисками кредитная организация должна предпринимать действия по развитию риск-культуры, одной из основных задач которой является получение работниками кредитной организации знаний и навыков в сфере управления рисками посредством систематического обучения (см. письмо Банка России от 16.05.2012 N 69-Т «О рекомендациях Базельского комитета по банковскому надзору «Принципы надлежащего управления операционным риском»).
В ходе аудита рекомендуется оценить эффективность мер, принимаемых в кредитной организации с целью повышения риск-культуры и знаний работников в области операционного риска, например, в том числе:
— полноту прохождения работниками кредитной организации обучения, например, дистанционного обучения по специализированным курсам «Управление операционным риском и риск-культура в кредитной организации в области операционного риска», «Вводный курс по выявлению и регистрации СОР», «Вводный курс по проведению самооценки операционного риска»;
— формирование единого понимания работниками кредитной организации понятия «операционный риск», способов идентификации операционного риска и порядка сбора данных о СОР (посредством выборочного опроса аудитором работников кредитной организации);
— полноту прохождения риск-координаторами подразделений владельцев процессов, центров компетенций и специализированных подразделений дополнительного специализированного обучения в области операционного риска.
4.3. Проверка корректности расчета экономического капитала на покрытие операционного риска
В ходе аудита рекомендуется оценить корректность расчета экономического капитала на покрытие операционного риска, требования к которому установлены Указанием N 3624-У и приложением 2 к Положению N 716-П, также осуществить оценку:
— наличия методики и порядка расчета экономического капитала на покрытие операционного риска и ее соответствие требованиям Указания N 3624-У и приложения 2 к Положению N 716-П;
— наличия валидации указанной методики и эффективности указанной методики на предмет того, позволяет ли она оценивать непредвиденные прямые потери от реализации операционного риска и выделять на их покрытие достаточный уровень капитала путем установления ненулевого значения компонента объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) на покрытие потерь от реализации СОР) ( ).
Для чего в банке проводится процедура самооценки
Banking compliance — это ряд инструментов и процедур для внутреннего контроля потенциальных или существующих клиентов на предмет их соответствия требованиям законодательства в отношении отмывания денег, финансирования терроризма и уклонения от уплаты налогов (AML/CTF).
Ответим на главные вопросы:
- Почему зарубежному банку важен комплаенс-контроль?
- «Face-to-face meeting». Обязательно ли нужна личная встреча?
- Что входит в процедуру «знай своего клиента» или KYC?
- В чем состоит процесс оценки рисков?
- Можно ли самостоятельно успешно пройти комплаенс в банке?
Почему зарубежному банку важен комплаенс-контроль?
Одной из главных задач комплаенс-отдела является сохранение и защита деловой репутации банка и его лицензии, которая, по сути, и обеспечивает финансовый успех и доверие клиентов. Банковский комплаенс обязан контролировать достоверность, полноту, объективность, открытость и своевременность предоставления необходимой информации по клиенту.
Каждый иностранный банк обязан выполнять требования регуляторов, потому что при их несоблюдении банку грозит:
- Блокировка корреспондентских счетов или их полное закрытие;
- Наложение крупных штрафов;
- Ограничение деятельности банка и его инвесторов;
- Наложение штрафов на конкретных сотрудников, отвечающих за соблюдение комплаенс-процедур.
«Face-to-face meeting». Обязательно ли нужна личная встреча?
Частью процесса принятия новых клиентов на обслуживание является идентификация личности, соответствие предоставляемых документов ранее направленным копиям и оценка рисков принятия клиента.
Провести процедуру возможно в ходе личной встречи (face-to-face meeting). Если возможность организации встречи отсутствует, идентификацию личности можно провести через нотариуса или иное лицо, имеющее право на удостоверение подлинности документов.
Это несёт за собой негативные последствия, так как в условиях отсутствия возможности личной встречи с клиентом (non face—to—face client), клиенту может быть присвоен высокий уровень риска.
Кроме того, в отношении лиц, с которыми не было личного знакомства, может быть осуществлен контакт посредством видеосвязи при условии соблюдения всех мер безопасности (проведение видеоконференции на платформах, позволяющих ограничить доступ иным лицам).
Что входит в процедуру «знай своего клиента» или KYC?
Процедура «Знай своего клиента» или Know Your Client (KYC) помогает комплаенс-офицеру оценить риски принятия клиента, присвоив один из трёх уровней риска: низкий, средний или высокий. В KYC-процедуру входят:
- Сбор документов по клиенту (по физическому лицу: паспорт, документ, подтверждающий адрес проживания не старше 3-х месяцев, резюме, содержащее информацию об образовании и трудовой деятельности, рекомендательное письмо из банка не старше 6 месяцев; по юридическому лицу: пакет корпоративных документов, Сертификат о надлежащем состоянии (Certificate of Good Standing/Incumbency), финансовая отчётность);
- Составление экономического профиля клиента;
- Комплексная проверка клиента и источников его дохода.
При непредоставлении запрошенных документов или предоставлении их в не полном объёме банк имеет право отказать клиенту в открытии счёта.
Как процедура KYC препятствует отмыванию денег и финансированию терроризма?
КYC-процедура помогает с решением таких задач, как:
- Исключение сложностей, связанных с проверкой потенциальных клиентов и их банковских операций на вероятность отмывания денег или других нелегальных операций;
- Определение конкретного уровня риска для каждого клиента;
- Применение своего собственного подхода к организации внутренней политики банка, процедур и средств контроля в соответствии с обстоятельствами и характеристиками регулируемого финансового института;
- Создание более прибыльной системы доходов, как для банка, так и для его клиентов;
- Разработка метода контроля и защиты от возможных рисков.
Именно с целью уменьшения оборота незаконных денежных средств иностранные банки соблюдают в своей работе все описанные выше требования и проводят определенные внутренние проверки по отношению к своим потенциальным клиентам.
Соответствие этим требованиям является необходимым условием открытия счета в иностранном банке в 2021 году. От клиента потребуется активное участие в столь нелегком процессе, а также готовность и оперативность предоставления дополнительной информации, документов и прочих сведений для комплаенс-отдела.
Банки сегодня не дают конкретных сроков по рассмотрению запросов и не оглашают время для принятия финального решения. Важно отметить, что у каждой страны разные требования к открытию счета в связи с различием регуляторных норм и внутренней политики банков.
В чем состоит процесс оценки рисков?
Задача комплаенс-офицера состоит в том, чтобы оценить риски, которые могут возникнуть при одобрении открытия счёта в зарубежном банке потенциальному клиенту.
Помимо процедуры «Знай своего клиента» (KYC) и face-to-face meeting, запрашиваются определенные дополнительные документы и информация о клиенте, уделяя особое внимание размеру и источнику дохода (клиент должен документарно подтвердить легальность источника происхождения денежных средств).
Какую информацию необходимо дополнительно предоставить?
- Цели открытия счёта в иностранном банке;
- Планируемый оборот по счёту;
- Документы, подтверждающие легальность источника получаемых денежных средств;
- Перечень партнёров.
Можно ли самостоятельно успешно пройти комплаенс в банке?
Справится самостоятельно и без помощи профессионального агента сложно, но возможно. Резюмируя вышесказанное, к чему необходимо быть готовым: