10. Утверждает сферу компетенции подразделений по управлению операционными рисками, а также обеспечивает наличие у них достаточных ресурсов и соответствующего доступа к информации для эффективного осуществления своих функций.

11. Утверждает отчеты по управлению операционными рисками, подлежащими включению в отчет для Правления банка.

12. Разрешает разногласия, возникающие в ходе процесса управления операционными рисками.

4.2.2. Директор по рискам.

4.2.2.1. Директор по рискам (в рамках управления операционными рисками) – это лицо, которое принимает решения о действиях банка в отношении операционных рисков, относимых к рискам желтой зоны (уровню «средний и низкий»)[21], а также по рискам зеленой зоны в случаях, когда они были эскалированы до уровня директора по рискам.

4.2.2.2. Директор по рискам отвечает также за организацию управления операционными рисками во всем банке и за эффективность управления операционными рисками.

4.2.3. Риск-менеджеры.

4.2.3.1. Риск-менеджеры – это сотрудники, которые отвечают за организацию управления операционными рисками во всем банке (в каждом подразделении и каждым сотрудником). Риск-менеджерами являются все сотрудники подразделения по операционным рискам.

4.2.3.2. Обязанность риск-менеджера – организовать и контролировать выполнение в каждом департаменте и подразделении следующих риск-процедур:

1. Эффективная работа с инцидентами.

2. Выявление рисков и их устранение.

3. Функционирование системы раннего предупреждения рисков.

4. Обеспечение непрерывности деятельности.

5. Координация работы в управлении рисками.

6. Система отчетов и прогнозов, поддержание базы рисков.

7. Контроль соблюдения стандартов минимизации рисков.

Выполнение этих обязанностей должно соответствовать стандартам и требованиям настоящих Рекомендаций (прежде всего раздела 6).

4.2.3.3. Для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, риск-менеджер имеет право:

1. Проводить на предмет анализа операционных рисков проверку любого процесса банка, подразделения (за исключением подразделения по аудиту), ресурсов банка, документов без каких-либо специальных разрешений (проверки, связанные со входом в помещения, в которых осуществляется хранение ценностей, осуществляются на основании приказа Председателя правления банка).

2. Инициировать подготовку и изменение нормативных документов об управлении операционными рисками. Поручать разработку таких документов риск-координаторам, если эти документы касаются управления операционными рисками только одного или нескольких конкретных подразделений или региональных сотрудников.

3. Давать риск-координаторам, экспертам по инцидентам, регистраторам обязательные для исполнения указания о выполнения ими положений настоящих Рекомендаций и нормативных документов, составленных по их исполнению. Контролировать исполнение ими этих указаний.

4. Получать от любых подразделений банка и их сотрудников информацию о состоянии операционных рисков и об эффективности управления ими.

5. Направлять в подразделения по управлению персоналом документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников, нарушающих правила нормативных документов об управлении операционными рисками.

6. Обращаться к аудиторам для получения разъяснений о спорных вопросах об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.

7. Эскалировать спорные вопросы по операционным риска на уровень комитета по рискам или Правления банка.

4.2.3.4. О выполнении этих задач риск-менеджеры отчитываются перед директором по рискам, перед Правлением банка и перед Советом директоров.

Третья «линия защиты» включает в себя процесс независимого контроля и регулярного аудита эффективности всей системы управления операционными рисками и контроля её соответствия требованиям ЦБ РФ и Базельского комитета[22].

В третьей линии защиты, операционными рисками управляет подразделение по аудиту, а именно аудиторы.

4.3.1. Аудиторы.

4.3.1.1. Обязанность аудитора (в рамках управления операционными рисками) – осуществлять текущий независимый контроль и регулярный аудит эффективности всей системы управления операционными рисками и её соответствия требованиям ЦБ РФ и Базельского комитета, а также давать заключения о соответствии или несоответствии с замечаниями, которые должны быть устранены.