Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования организации на предмет наличия или возможности возникновения факторов операционного риска, который осуществляется на нескольких уровнях:

● анализ изменений в финансовой сфере организации в целом (освоение новых направлений деятельности, продвижение на рынке новых банковских услуг, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности;

● анализ подверженности операционному риску направлений деятельности (бизнес-процессов) с учётом приоритетов организации;

● анализ отдельных операций и сделок организации;

● анализ внутренних процедур, включая систему отчётности и обмена информацией.

Процесс идентификации состоит из следующих процедур:

● классификация (кодификация) типов возможных неблагоприятных^[63] событий в разрезе источников^[64] (причин) рисков;

● сбор данных о внутренних и внешних событиях, их распределение по классификационным видам (категориям), определение типов и количества полученных и потенциальных потерь.

События реализации операционного риска происходят как при возникновении отдельных факторов, так и в результате сочетания нескольких факторов операционного риска, и организация определяет принадлежность каждого инцидента потерь (события реализации операционного риска) к тому или иному типу операционных рисков по следующим основным категориям:

● внутреннее мошенничество^[65]:

• коррупционные действия сотрудников (злоупотребление служебным положением вопреки законным интересам организации в целях получения личной выгоды либо выгоды третьим лицам);

• принудительные действия (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• сговор сотрудников организации с третьими лицами (передача сотрудниками организации информации о своих клиентах/контрагентах конкурентам, занижение ставок при продаже ресурсов и т. д.);

• сговор между сотрудниками с целью получения личной выгоды либо выгоды третьим лицам;

• умышленное уничтожение материальных активов и информации, преднамеренное сокрытие или искажение фактов совершения сделок и заключения договоров;

• преднамеренное превышение установленных лимитов с целью получения личной выгоды либо выгоды третьим лицам;

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• мошеннические операции при расчётно-кассовом обслуживании (присвоение или растрата денежных средств, использование поддельных купюр, обман при совершении расчётов с клиентами и т. п.);

• мошеннические операции со счетами клиентов (неправомерное списание средств со счетов, использование счетов клиентов для перевода денежных средств, отнесение собственных расходов на счета клиентов, манипулирование со счётом клиента и т. д.);

• мошенничество с валютными операциями (злоупотребления при проведении конверсионных операций, учёте валютных средств организации и т. п.);

• мошеннические операции с кредитами (выдача фиктивных кредитов, подделка документов при предоставлении кредитов; выдача кредитов под несуществующие залоги и т. п.);

• мошенничество с ценными бумагами (противоправные манипуляции с ценными бумагами);

• мошенничество при совершении бухгалтерских операций (противоправные манипуляции с бухгалтерскими счетами, необоснованное завышение и занижение сумм проводок, использование средств временно не используемых счетов и т. д.);

• мошенничество в сфере хозяйственных операций (присвоение доходов от заключённых договоров с поставщиками, подрядчиками, присвоение доходов от арендной платы и т. п.);

• мошенничество в сфере информационных систем и технологий;

● внешнее мошенничество^[66]:

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• грабёж (открытое хищение имущества без применения насилия или с применением насилия, не опасного для жизни и здоровья, либо с угрозой применения такого насилия);

• разбой (нападение в целях хищения имущества с применением опасного для жизни или здоровья насилия либо с угрозой применения такого насилия);

• принудительные действия к сотруднику со стороны третьих лиц (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• подделка, подлог (документов, удостоверяющих личность, печатей, доверенностей, платёжных документов, денежных купюр и т. п.);

• предоставление заведомо ложных сведений о юридическом статусе, финансовом положении и т. п.;

• взлом системы безопасности или доступа в автоматизированную систему организации, генерация фальшивых электронных проводок или операций в платёжной банковской системе;

• взлом системы безопасности работы системы дистанционного обслуживания, криптографической защиты клиентских платежей в расчётных системах, генерация фальшивых электронных поручений от имени клиентов по управлению клиентскими счетами;

• несанкционированный дистанционный доступ третьих лиц к информационным активам организации с целью кражи информации, модификации и/или её уничтожения;

• внедрение в систему компьютерных вирусов и вредоносных программ, в том числе посредством использования электронной почты;

• несанкционированный физический доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов;

● кадровая политика и безопасность труда^[67]:

• нарушение договорных отношений в вопросах оплаты труда, выходных пособий, вознаграждения, компенсации сотрудникам, ошибки при найме и увольнении;

• нарушение норм охраны здоровья и безопасности труда;

• все типы дискриминации (по расовому, национальному, религиозному, половому и иным признакам);

● ошибки в клиентской практике, условиях продажи продуктов, во взаимоотношениях с клиентами^[68]:

• недостатки в раскрытии информации о клиенте и контрагенте (принцип «Знай своего клиента»);

• недостатки клиентской политики (неприемлемость сотрудничества с отдельными клиентами/контрагентами);

• нарушения, связанные с раскрытием конфиденциальной информации клиента/контрагента, злоупотребление конфиденциальной информацией;

• нарушение со стороны организации фидуциарных отношений^[69];

• нарушение организацией обязательств кредитора;

• нарушение организацией обязательств по расчётно-кассовому обслуживанию;

• неправильная деловая или рыночная практика;

• нарушение законодательства по противодействию отмыванию доходов, полученных преступным путём, финансирования терроризма;

• осуществление нелицензированной деятельности (предоставление услуг, подлежащих лицензированию, при отсутствии необходимой лицензии либо специального разрешения);

• практика проведения банковских операций, не соответствующая общепринятой деловой или рыночной практике;

• изъяны в продуктах расчётно-кассового обслуживания (претензии клиентов в части скорости обработки информации, документооборота, «ручной» обработки данных, тарифы, комиссии и т. п.);

• изъяны в продуктах дистанционного банковского обслуживания;

• изъяны в банковских продуктах с предоставлением посреднических услуг (в том числе конверсионные операции);

• изъяны в банковских продуктах по кредитованию;

• изъяны в иных банковских продуктах (за исключением расчётно-кассового обслуживания, дистанционного банковского обслуживания, посреднических операций);

• невыполнение требований по изучению клиентов;

• превышение лимитов риска на одного клиента/контрагента;

• разногласия в оценках результатов консалтинговых услуг;

● причинение ущерба физическим активам^[70]:

• причинение ущерба физическим активам в результате катастроф (природных и техногенных), терроризма, вандализма и иных форс-мажорных обстоятельств;

• причинение ущерба физическим активам в результате обстоятельств, не являющихся форс-мажорными;

● нарушения в системах ведения бизнес-процессов и сбои информационно-технологических систем^[71]:

• сбои программного обеспечения, информационных систем и технологий;

• сбои оборудования и выход из строя аппаратного обеспечения;

• сбои в работе телекоммуникаций;

• сбои в энергоснабжении, водоснабжении, в работе отопительных систем, систем кондиционирования и иных технических систем;

● ошибки в управлении процессами^[72]:

• неадекватная организация внутренних процессов и процедур, несовершенство распределения обязанностей и полномочий внутри бизнес-процесса, неправильные внутренние коммуникации и документооборот бизнес-процесса;

• несоблюдение, неточное соблюдение правил и стандартов бухгалтерского учёта;

• бухгалтерские технические ошибки (ошибки в бухгалтерских проводках);

• ошибки при вводе, загрузке или поддержании данных в автоматизированной банковской системе (ошибки в атрибуции клиентов/контрагентов, процентных ставок, котировок, курсов валют, ошибки в отдельных аналитических модулях автоматизированной банковской системы);

• ошибки при вводе, загрузке или поддержании данных в специализированных прикладных программах, используемых структурными подразделениями организации;

• неправильное функционирование систем или моделей, ошибки в методологии, неправильно выбранная методология;

• непреднамеренное превышение должностных полномочий (в том числе персональных лимитов);

• прочие ошибки при выполнении задач по исполнению и поддержанию банковских операций;

• неточная внешняя финансовая отчётность организации;

• неточная внутренняя финансовая (бухгалтерская) отчётность (промежуточная отчётность, управленческая отчётность и т. п.);

• неточная отчётность о деятельности организации (ежемесячная информация в адрес учредителей (акционеров) организации, иные формы отчётности);

• отсутствующая или неполная юридическая документация по клиентам/контрагентам (в том числе кредитные досье, юридические досье и т. п.);

• ошибки в договорных документах с клиентами/контрагентами;

• утеря и некомплектность документов клиента/контрагента;

• ошибки и неточности при совершении операций по счетам клиентов (несвоевременное списание/зачисление средств, неправильные реквизиты, прочие ошибки и неточности);

• ошибки и неточности со стороны клиентов (неправильные реквизиты, прочие неточности, повлёкшие дополнительные затраты);

• ошибки и неточности при совершении операций с контрагентами (операции по межбанковскому кредитованию, ведение корреспондентских счетов, операции с ценными бумагами и т. п.);

• конфликты с контрагентами, в том числе предъявление штрафных санкций;

• аутсорсинг (ошибки и неточности при выборе компаний, осуществляющих аутсорсинг, конфликты, непредоставление, ненадлежащее предоставление услуг и т. п.);

• ошибки и неточности при оказании организации консалтинговых услуг;

• конфликты с поставщиками, невыполнение обязательств перед организацией поставщиками услуг, исполнителями работ, неправильный выбор поставщика, подрядчика.

Оценка и мониторинг операционного риска предполагают качественное и количественное измерение операционного риска. В качестве основных подходов к измерению, оценке и мониторингу операционного риска используются следующие методы:

● Численная (нормативная) оценка, которая проводится путём учёта необходимости резервирования капитала под события операционного риска, путём включения в расчёт показателя достаточности капитала.

● Карты операционных рисков, первоначально составляемые на основе результатов опроса экспертов (руководителей и специалистов организации) по категориям риска для всей организации в целом и/или по структурным подразделениям и бизнес-процессам. По мере накопления данных об операционных потерях построение карты рисков проводится на основе фактических данных об операционных потерях. Карты операционных рисков используются для оценки риска, а также для его мониторинга.

● Самооценка операционного риска, являющаяся экспертным балльно-весовым методом, позволяющим оценить уровень контроля операционных рисков или подверженность остаточному^[73] (не контролируемому) операционному риску в разрезе выбранных единиц портфеля операционных рисков (структурных подразделений, бизнес-направлений) и категорий операционных рисков. Самооценка операционного риска осуществляется на основе анкетных опросов экспертов (руководителей структурных подразделений), которые проводят критическую самооценку уровня контроля операционных рисков в своих структурных подразделениях. Экспертные опросы проводятся в целях определения на выбранном объекте следующей информации:

• факторы риска, которым подвержен выбранный объект риска;

• возможные сценарии реализации выбранного фактора риска на выбранном объекте риска;

• последствия реализации сценария и частота его реализации;

• эффективность текущих мер контроля риска;

• предложения по стратегии управления описанным риском и мероприятиям по минимизации последствий вследствие реализации риска;

• ключевые показатели риска (ключевые индикаторы риска), которые могут быть использованы на выбранном объекте риска.

● Расчёт ключевых показателей риска, основанный на системе числовых индикаторов (показателей и параметров), которые теоретически или эмпирически связаны с уровнем операционного риска. В их состав входят показатели, характеризующие частоту возникновения случаев операционных убытков, и показатели, косвенно характеризующие вероятность возникновения потерь.

● Стресс-тестирование (сценарный анализ), используемое для анализа возможных значений операционных убытков в различных вариантах развития событий. Сценарный анализ позволяет смоделировать критические ситуации проявления операционного риска и оценить его влияние на деятельность организации.

Для минимизации операционного риска организация осуществляет регулирование операционного риска^[74]. При определении методов ограничения (минимизации) операционных рисков организация подразделяет факторы операционного риска на подконтрольные (контролируемый^[75] операционный риск) и неподконтрольные (остаточный операционный риск).

В целях ограничения операционных рисков при освоении новых направлений деятельности, продуктов, технологий и изменения ключевых бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.

В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:

● способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);

● способы покрытия отдельных видов возможных потерь от реализации операционных рисков (создание резервов, распределение капитала и страхование).

В части подконтрольных факторов операционного риска организация осуществляет следующие меры (мероприятия):

● разработку организационной структуры, правил и процедур совершения банковских операций и других сделок;

● разработку порядка утверждения (согласования) и подотчётности по заключаемым сделкам и проводимым операциям;

● обеспечение информационной безопасности за счёт:

• разработки нормативно-методических документов, регламентирующих осуществление деятельности по защите информации;

• разработки и реализации комплекса организационно-технических мероприятий по защите информационных активов от возможных угроз;