Под инцидентом понимается любое событие, связанное с операционными рисками, которое может повлечь ущерб для банка (материальный, имиджевый, и т. д.). Общая классификация инцидентов приведена в Приложении 1. Для целей учета различают значимые и незначимые инциденты.

Значимыми инцидентамибанк, например, признает все инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей[3]. Значимые инциденты подлежат детальному учету (подробнее см. в разделе 6.1 «Эффективная работа с инцидентами»). К незначимым инцидентам, в таком случае, относятся иные инциденты (с меньшей суммой убытка).

Для целей анализа рисков и инцидентов (в т. ч. для расчета размера операционного риска) каждый идентифицированный риск, инцидент, убыток или проблема, обусловливающая риск, должны быть классифицированы по следующему списку критериев (список может быть расширен в рабочем порядке комитетом по рискам (см. п. 4.2.1):

3.3.1. По типу риска:

1. Риски техногенного, природного, социального характера.

2. Риски сбоев техники, программ, простоев.

3. Риски нарушений прав сотрудников, условий труда, конфликтов.

4. Риски ошибок в процессе обслуживания клиента или контрагента.

5. Риски ошибок внутреннего процесса, не связанного с обслуживанием клиента или контрагента.

6. Риски мошенничества и злоупотреблений с участием сотрудников банка.

7. Риски мошенничества и злоупотреблений с участием третьих лиц.

Эти типы рисков детализированы в Приложении 1.

3.3.2. По значимости:

1. Экстремальный (символьное обозначение AAA, красная зона).

2. Критичный (AA, красная зона).

3. Высокий (A, красная зона).

4. Средний (BB, желтая зона).

5. Низкий (B, желтая зона).

6. Допустимый (C, зеленая зона).

Эта шкала риска детализирована в Приложениях 2.1 и 2.2.

3.3.3. По бизнес-линии:

1. Банкинг физических лиц.

2. Банкинг юридических лиц.

3. Платежи и расчеты лиц, не являющихся клиентами банка.

4. Агентские услуги.

5. Биржевая и внебиржевая торговля.

6. Финансирование корпораций.

7. Управление активами.

8. Брокерские услуги.

Эти бизнес-линии детализированы в Приложении 3.

Могут использоваться и иные классификации риска.

Для управления операционными рисками в банке существуют три линии защиты[4]:

1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.

Выделяют три вида ответственных:

• риск-координаторы (начальники департаментов и назначенные лица);

• эксперты по инцидентам;

• регистраторы (все сотрудники подразделения).

2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:

• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);

• директор по рискам[5];

• риск-менеджеры[6].

3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.

Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.

Субъекты, управляющие операционными рисками

Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач

Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).

В рамках первой линии защиты в подразделениях банка операционными рисками управляют:

• риск-координаторы;

• эксперты по инцидентам;

• регистраторы.

Перечисленные субъекты, безусловно, имеются во всех департаментах банка[7], так как каждый департамент в текущем состоянии уже производит разбирательства с инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.

Если эти субъекты департаментов не оформлены должным образом[8], то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления[9] и обучения.