4.3.1.2. Аудит должен производится не чаще двух раз в год и не реже одного раза в год.

4.3.1.3. Права аудитора фиксируются в нормативных документах, регламентирующих деятельность подразделения по аудиту.

Управление операционными рисками состоит из четырех этапов:

Этап 1. Идентификация рисков (выявление, классификация, документирование).

Этап 2.Анализ и оценка (определение владельца, классификация, оценка, выбор метода управления, определение мероприятий).

Этап 3. Управляющее воздействие – выполнение мероприятий по минимизации риска.

Этап 4. Мониторинг (контроль исполнения мероприятий, измерение уровня риска, отчетность).

Схема 3. Взаимосвязь четырех этапов управления операционным риском

Для управления рисками используются два взаимодополняющих подхода:

• «сверху вниз» – подход, при котором оцениваются последствия реализации риска (прямые и косвенные потери/затраты, их влияние на конечные результаты деятельности банка);

• «снизу вверх» – подход, при котором выявляются и оцениваются источники, причины и последствия (потенциальные и реализованные) возникновения риска в подразделениях банка и бизнес-процессах. Идентификация рисков при таком подходе происходит путем оценки реакции сотрудников, процессов, технологий на внутренние или внешние воздействия, и при этом определяются точки контроля.

Для достижения целей управления операционными рисками, обозначенных в п. 2.1, субъекты управления операционными рисками выстраивают и поддерживают в эффективном состоянии следующие риск-процедуры, которые обозначаются как компоненты управления операционными рисками:

Компонент № 1. Эффективная работа с инцидентами.

Компонент № 2. Выявление рисков и их устранение.

Компонент № 3. Система раннего предупреждения рисков.

Компонент № 4. Обеспечение непрерывности деятельности.

Компонент № 5. Координация работы всех департаментов в управлении рисками.

Компонент № 6. Система отчетов и прогнозов, поддержание базы рисков.

Компонент № 7. Контроль соблюдения стандартов минимизации рисков.

6.1.1. Гарантии качественной обработки всех банковских инцидентов.

6.1.1.1. Банк организует работу со всеми видами банковских инцидентов[23]. По каждому виду инцидентов банк назначает департамент, который в рамках выполнения своих функций[24] отвечает за организацию и осуществление эффективной работы с этими инцидентами (за их идентификацию, минимизацию ущерба, расследование, отчеты об исполнении мер и за организацию прочих необходимых действий во всем банке, включая его территориальные подразделения). Непосредственно такую работу с инцидентами организуют риск-координаторы департаментов.

6.1.1.2. Риск-координатор назначает экспертов по инцидентам[25] в своем департаменте и среди сотрудников, функционально курируемых департаментом (в т. ч. в территориальных подразделениях), организует и контролирует их работу. Численность и местонахождение экспертов по инцидентам определяется так, чтобы они охватывали работой все инциденты своего вида во всем банке, включая все территориальные подразделения (при этом может использоваться удаленная работа с инцидентами).

6.1.1.3. По однотипным инцидентам[26] или инцидентам с уровнем значимости высокий и выше[27], риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты:

• виды инцидентов, подлежащих обработке, их признаки;

• порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников));

• классификацию критичности инцидентов этого вида;

• мотивацию сотрудников банка к регистрации сообщений об инцидентах;