31
Имеются в виду департаменты, в которых субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).
32
Сумма может меняться комитетом по рискам.
33
Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).
34
Имеется в виду регистрация сообщений об инцидентах, их маршрутизация экспертам по инцидентам, регистрация отчетов об обработке инцидентов, напоминания об актуализации инцидентов, осуществляемые в технических системах банка.
35
При условии, что такая система внедрена и используется банком.
36
Формат этой страницы в обязательном порядке должен быть согласован с риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр этой страницы. Ссылка на эту страницу (с названием «Сообщить об инциденте») должна быть размещена и на главной внутренней странице банка (обычно мелким шрифтом в нижней части главной страницы сайта), и на рабочих столах каждого сотрудника банка. Не допускается помещение этой ссылки на второй уровень ссылок.
37
Указанные положения в числе прочих были предложены автором для отражения в инструкции ЦБ о правилах управления операционным риском (в рамках рабочей группы Ассоциации российских банков по внедрению стандартов управления операционным риском Базельского комитета в банках России).
38
Business continuity plan – план непрерывности деятельности (обеспечения бесперебойной деятельности).
39
Disaster Recovery Plan – план восстановления деятельности во время и после аварий. Применяется в основном для ИТ систем.
40
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
41
Или заместитель председателя правления по рискам.
42
Сотрудники подразделения по операционным рискам.
43
В приложениях не приводятся примеры сигнальной отчетности о ключевых индикаторах рисков; отчетов, формируемых в рамках раннего предупреждения; специальных адресных уведомлений руководства о крупных инцидентах и угрозах.
44
Ключевые показатели эффективности.
45
Если в этих подразделениях все субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).
46
Если такая работа производится подразделениями в своих автоматизированных программах, то эти подразделения должны обеспечить выгрузку данных из этих систем в формате, доступном для загрузки в единую базу операционных рисков.
47
Если такая база внедрена в банке.
48
В качестве целевых показателей могут выбираться количественные, проектные или событийные критерии.
49
Эти критерии должны определяться директором по рискам или заместителем председателя правления банка по рискам, согласовываться с комитетом по рискам и при необходимости утверждаться подразделением по персоналу, Правлением банка или Советом директоров. В качестве критериев могут быть избраны такие показатели, связанные с операционными рисками, как: предельное количество нарушений лимитов за период, предельная сумма нарушения лимитов, предельная сумма хищений денежных средств в курируемых процессах, предельная доля претензий клиентов от общего количества клиентов и др. Учет размеров убытков осуществляется в рамках процедур разделов 6.1 и 6.2 настоящих Рекомендаций.
50
Эти критерии должны определяться директором по рискам или заместителем председателя правления банка по рискам, согласовываться с комитетом по рискам и при необходимости утверждаться подразделением по персоналу, Правлением банка или Советом директоров. В качестве критериев могут быть избраны такие показатели, связанные с операционными рисками как:
• сумма предотвращенного годового убытка (за счет идентификации несовершенных процедур, в т. ч. в рамках согласования проектов нормативных документов, бизнес-требований и технических заданий, ошибочных настроек систем и иных процедур, генерирующих этот убыток, и их исправления); при этом суммы рисков и факты их устранения должны быть подтверждены владельцами процесса и подразделением по операционным рискам;
• количество устраненных критичных рисков (за счет идентификации несовершенных процедур в т. ч. бизнес-требований и технических заданий, ошибочных настроек систем и иных процедур, генерирующих этот убыток, и их исправления); при этом критичность рисков и факты их устранения должны быть подтверждены владельцами процесса и подразделением по операционным рискам.
Учет предотвращенных убытков и рисков осуществляется в рамках процедур разделов 6.1 и 6.2 настоящих Рекомендаций.
51
Или иное подразделение, соответствующее уровню отдела банка.
52
Бенчмаркинг (в данном контексте) – сравнение с аналогичными показателями в других банках.
53
Так называемый, грейдинг (англ. grading) – система грейдов, разновидность мотивации персонала, в основе которой лежит оценка относительной ценности должностей в компании.
54
Имеются в виду крупные группы сотрудников (не менее 30) со сходными обязанностями (например, кредитные эксперты, верификаторы и т. д.). Сотрудники одной группы не должны иметь возможность ознакамливаться с достижениями сотрудников другой группы. Формат этой страницы в обязательном порядке должен быть согласован риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр страницы. Ссылка на эту страницу с названием «Достижения сотрудников (по производительности)» должна быть размещена и на внутреннем портале банка.
55
На этой странице приводятся все предложения сотрудников с обеспечением возможности ознакомиться с датами их подачи, резолюции и внедрения; с содержанием предложений и резолюций; с мерами поощрения за каждое предложение (начисленными бонусами). Сотрудники могут голосовать за или против тех или иных предложений и оставлять свои комментарии. Должна быть создана возможность сортировки этих предложений по инициатору, дате, вознаграждению, значимости, виду процесса (названию продукта). Эта страница должна обновляться не реже одного раза в день и хранить историю изменений за квартал. Все действующие сотрудники банка должны иметь доступ к этой странице (с учетом уровней конфиденциальности). Формат этой страницы в обязательном порядке должен быть согласован риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр этой страницы. Ссылка на страницу с названием «Достижения сотрудников по улучшению процессов» должна быть размещена на портале банка, а также на странице «ВНД банка» (внутренние нормативные документы банка).