31
Имеются в виду департаменты, в которых субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).
Сумма может меняться комитетом по рискам.
Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).
Имеется в виду регистрация сообщений об инцидентах, их маршрутизация экспертам по инцидентам, регистрация отчетов об обработке инцидентов, напоминания об актуализации инцидентов, осуществляемые в технических системах банка.
При условии, что такая система внедрена и используется банком.
Формат этой страницы в обязательном порядке должен быть согласован с риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр этой страницы. Ссылка на эту страницу (с названием «Сообщить об инциденте») должна быть размещена и на главной внутренней странице банка (обычно мелким шрифтом в нижней части главной страницы сайта), и на рабочих столах каждого сотрудника банка. Не допускается помещение этой ссылки на второй уровень ссылок.
Указанные положения в числе прочих были предложены автором для отражения в инструкции ЦБ о правилах управления операционным риском (в рамках рабочей группы Ассоциации российских банков по внедрению стандартов управления операционным риском Базельского комитета в банках России).
Business continuity plan – план непрерывности деятельности (обеспечения бесперебойной деятельности).
Disaster Recovery Plan – план восстановления деятельности во время и после аварий. Применяется в основном для ИТ систем.
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
Или заместитель председателя правления по рискам.
Сотрудники подразделения по операционным рискам.
В приложениях не приводятся примеры сигнальной отчетности о ключевых индикаторах рисков; отчетов, формируемых в рамках раннего предупреждения; специальных адресных уведомлений руководства о крупных инцидентах и угрозах.
Ключевые показатели эффективности.
Если в этих подразделениях все субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).
Если такая работа производится подразделениями в своих автоматизированных программах, то эти подразделения должны обеспечить выгрузку данных из этих систем в формате, доступном для загрузки в единую базу операционных рисков.
Если такая база внедрена в банке.
В качестве целевых показателей могут выбираться количественные, проектные или событийные критерии.
Эти критерии должны определяться директором по рискам или заместителем председателя правления банка по рискам, согласовываться с комитетом по рискам и при необходимости утверждаться подразделением по персоналу, Правлением банка или Советом директоров. В качестве критериев могут быть избраны такие показатели, связанные с операционными рисками, как: предельное количество нарушений лимитов за период, предельная сумма нарушения лимитов, предельная сумма хищений денежных средств в курируемых процессах, предельная доля претензий клиентов от общего количества клиентов и др. Учет размеров убытков осуществляется в рамках процедур разделов 6.1 и 6.2 настоящих Рекомендаций.
Эти критерии должны определяться директором по рискам или заместителем председателя правления банка по рискам, согласовываться с комитетом по рискам и при необходимости утверждаться подразделением по персоналу, Правлением банка или Советом директоров. В качестве критериев могут быть избраны такие показатели, связанные с операционными рисками как:
• сумма предотвращенного годового убытка (за счет идентификации несовершенных процедур, в т. ч. в рамках согласования проектов нормативных документов, бизнес-требований и технических заданий, ошибочных настроек систем и иных процедур, генерирующих этот убыток, и их исправления); при этом суммы рисков и факты их устранения должны быть подтверждены владельцами процесса и подразделением по операционным рискам;
• количество устраненных критичных рисков (за счет идентификации несовершенных процедур в т. ч. бизнес-требований и технических заданий, ошибочных настроек систем и иных процедур, генерирующих этот убыток, и их исправления); при этом критичность рисков и факты их устранения должны быть подтверждены владельцами процесса и подразделением по операционным рискам.
Учет предотвращенных убытков и рисков осуществляется в рамках процедур разделов 6.1 и 6.2 настоящих Рекомендаций.
Или иное подразделение, соответствующее уровню отдела банка.
Бенчмаркинг (в данном контексте) – сравнение с аналогичными показателями в других банках.
Так называемый, грейдинг (англ. grading) – система грейдов, разновидность мотивации персонала, в основе которой лежит оценка относительной ценности должностей в компании.
Имеются в виду крупные группы сотрудников (не менее 30) со сходными обязанностями (например, кредитные эксперты, верификаторы и т. д.). Сотрудники одной группы не должны иметь возможность ознакамливаться с достижениями сотрудников другой группы. Формат этой страницы в обязательном порядке должен быть согласован риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр страницы. Ссылка на эту страницу с названием «Достижения сотрудников (по производительности)» должна быть размещена и на внутреннем портале банка.
На этой странице приводятся все предложения сотрудников с обеспечением возможности ознакомиться с датами их подачи, резолюции и внедрения; с содержанием предложений и резолюций; с мерами поощрения за каждое предложение (начисленными бонусами). Сотрудники могут голосовать за или против тех или иных предложений и оставлять свои комментарии. Должна быть создана возможность сортировки этих предложений по инициатору, дате, вознаграждению, значимости, виду процесса (названию продукта). Эта страница должна обновляться не реже одного раза в день и хранить историю изменений за квартал. Все действующие сотрудники банка должны иметь доступ к этой странице (с учетом уровней конфиденциальности). Формат этой страницы в обязательном порядке должен быть согласован риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр этой страницы. Ссылка на страницу с названием «Достижения сотрудников по улучшению процессов» должна быть размещена на портале банка, а также на странице «ВНД банка» (внутренние нормативные документы банка).