Управление операционными рисками банка: практические рекомендации - читать онлайн книгу. Автор: Р. Бедрединов cтр.№ 13

6.3.8.6. Расчет риска продвинутым способом в обязательном порядке должен основываться на анализе следующих данных (помимо анализа исторических данных об инцидентах):

1. Данных самооценки рисков (согласно п. 6.3.1).

2. Данных мониторинга ключевых индикаторов рисков (согласно п. 6.3.2).

3. Данных сценарного анализа рисков и стресс-тестирования (согласно п. 6.3.5).

4. Данных о внешних потерях от операционных рисков (согласно п. 6.3.6).

6.3.9. Эскалация рисков, идентифицированных аналитическим мониторингом.

6.3.9.1. При обнаружении рисков в рамках аналитического мониторинга риск-менеджер или риск-координатор инициирует работу с ними в рамках процедур п. 6.2.

Обеспечение непрерывности и возобновления деятельности (далее – ОНиВД) осуществляется в соответствии с Приложением 5 к Положению № 242-П для определения целей, задач, порядка, способов и сроков осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования банка и его подразделений, вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств).

6.4.1. Обеспечение непрерывности деятельности регламентируется двумя группами нормативных документов:

• планами непрерывности деятельности критичных процессов (BCP ^[38]);

• памятками действий сотрудников при чрезвычайных ситуациях;

• дополнительными документами, при недостаточности упомянутых выше, например, DRP ^[39].

6.4.2. Планы непрерывности деятельности банка.

План ОНиВД представляет собой совокупность модулей, каждый из которых описывает действия подразделений банка по одному критичному процессу, функции или обстоятельству. Бланк плана состоит из следующих основных частей:

Часть I. О непрерывности деятельности исполнителей процесса

• описание критически важной функции исполнителей;

• действия при выбытии исполнителей;

• действия при сбое программных и технических ресурсов;

• действия при выбытии помещений, используемых исполнителями;

• действия при наступлении иных чрезвычайных обстоятельств.

Часть II. О непрерывности деятельности серверного программного обеспечения (ПО), используемого в процессе

• описание ПО, расположенного на серверах, описание серверов и каналов связи, используемых в критически важной функции, SLA (соглашение об уровне обслуживания серверов и информационных систем на серверах);

• действия при сбое ПО, расположенного на серверах, серверов и каналов связи;

• действия при выбытии помещений, в которых расположены серверные программы;

• действия при выбытии исполнителей, обеспечивающих функционирование серверных программ, серверов и каналов связи;

• действия при наступлении иных чрезвычайных обстоятельств, связанных с серверами и приведших к нарушению критически важной функции.

6.4.3. Бланк плана представлен в Приложении 7. Он заполняется риск-координаторами тех департаментов, чьи процессы признаются для банка значимыми (в части I п. 6.4.2) и риск-координатором ИТ-подразделения (в части II п. 6.4.2). Список значимых процессов обозначен в Приложении 8. Принципиальный подход разработки, согласования, утверждения, пересмотра и проверки (тестирования) плана ОНиВД представлен на схеме 5.

6.4.4. Памятки действий сотрудников при чрезвычайных ситуациях готовятся риск-координаторами, ответственными за работу с тем или иным видом чрезвычайной ситуации (ЧС). При необходимости памятки о различных ЧС могут объединяться.

6.4.5. Банк стремится обеспечивать непрерывность своей деятельности с минимальными издержками – резервные рабочие места по возможности должны размещаться на рабочих местах и компьютерах, используемых другими сотрудниками некритичных функций.

6.4.6. Правила и особенности деятельности по обеспечению непрерывности деятельности банка регламентируются нормативными документами банка.

6.5.1. Согласно разделу 4 настоящих Рекомендаций для управления операционными рисками в банке существуют три линии защиты ^[40]:

1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.

Выделяют три вида ответственных:

• риск-координаторы (начальники департаментов и назначенные лица);

• эксперты по инцидентам;

• регистраторы (все сотрудники подразделения).

2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:

• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);

• директор по рискам ^[41];

• риск-менеджеры ^[42].

3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.

Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.

6.5.2. Порядок назначения, права и обязанности этих субъектов обозначены в разделе 4 настоящих Рекомендаций. Формат их работы, особенности взаимодействия, обучения и координации обозначены в остальных разделах прежде всего в разделе 6.