Операційно-технологічний ризик
Операційнотехнологічний ризик — це потенційний ризик для існування банку, що виникає через недоліки корпоративного управління, системи внутрішнього контролю або неадекватність інформаційних технологій і процесів оброблення інформації з погляду керованості, універсальності, надійності, контрольованості й безперервності роботи цих технологій.
Такі недоліки можуть призвести до фінансових збитків через помилку, невчасне виконання робіт або шахрайство або стати причиною того, що інтереси банку постраждають у якийсь інший спосіб, наприклад, ділери, кредитні працівники або інші працівники банку перевищать свої повноваження або здійснюватимуть операції, порушуючи етичні норми або із занадто високим ризиком.
Операційно-технологічний ризик виникає також через неадекватність стратегії, політики і використання інформаційних технологій. До інших аспектів операційнотехнологічного ризику належить імовірність непередбачених подій, (наприклад пожежі або стихійного лиха).
Компоненти системи управління ризиками щодо операційно-технологічного ризику
Система контролю операційнотехнологічного ризику банку складається з регламентних документів — політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.
Система контролю операційнотехнологічним ризиком містить такі компоненти:
- політику і положення щодо контролю за операційнотехнологічним ризиком з метою його мінімізації, які мають бути розглянуті та затверджені відповідно до обраної банком форми корпоративного управління. Ці політика і положення мають періодично переглядатися;
- процедури й засоби контролю за операційнотехнологічним ризиком, що притаманні операціям банку, у тому числі:
- процедури та засоби контролю за дотриманням облікової політики банку та вимог нормативноправових актів Національного банку щодо методів оцінювання активів та складання звітності;
- процедури та засоби контролю за функціонуванням інформаційних систем банку та забезпечення безперебійної діяльності, зокрема процеси дублювання й відновлення інформації, а також резервні системи в разі втрати доступу або знищення важливої інформації або технологій;
- інформаційну систему управління (форми звітності, схема документообігу тощо) для спостережної ради, правління або профільних колегіальних органів банку щодо моніторингу вразливості всіх видів діяльності банку до операційнотехнологічного ризику;
- програму управління персоналом, яка охоплює: ⎯постійний, ефективний процес залучення й утримання достатньої кількості кваліфікованого персоналу, що відповідає потребам банку та зовнішнім обставинам, з метою виконання завдань його діяльності й реалізації стратегії та бізнеспланів;
- продумані й визначені рівні повноважень з ухвалення будьяких рішень;
- доведення до персоналу його обов’язків; ⎯контроль за діяльністю персоналу;
- розроблення і впровадження процесу навчання з метою підвищення кваліфікації працівників;
- технологічні схеми (карти) продуктів та послуг банку, що підтримуються в постійно актуальному стані;
- процедури забезпечення потреб банку в інфраструктурі (зокрема в програмному, апаратному та іншому забезпеченні) відповідно до його обсягів та складності поточної та запланованої діяльності. Ці процедури мають передбачати санкціонування, тестування та документування всіх операційнотехнологічних систем банку перед початком їх експлуатації, а також механізми їх актуалізації, у тому числі перевірку чинності ліцензійних угод;
- процес періодичного тестування встановлених процедур та технологій здійснення операцій, у тому числі процедур фізичної та інформаційної безпеки, з метою контролю за дотриманням цих процедур і технологій та збирання інформації щодо їх можливого вдосконалення в разі їхньої неефективності.
Крім того, для належного контролю за операційнотехнологічним ризиком банкам необхідно:
- забезпечити надійне позаофісне зберігання всіх важливих резервних документів і файлів банку;
- у разі використання банком послуг аутсорсингу забезпечити чітку регламентацію таких питань:
- обставин, за яких можуть використовуватись послуги аутсорсингу та переліку операцій, до яких можуть бути залучені сторонні особи;
- процедур та критеріїв вибору постачальників послуг;
- моніторингу якості роботи і ризиків, пов’язаних із використанням сторонніх постачальників послуг.
Банки також повинні враховувати найкращий світовий досвід управління операційнотехнологічним ризиком, який, зокрема, викладено в положеннях Базельського комітету з банківського нагляду «Надійна практика управління та нагляду за операційним ризиком» (№ 96, лютий 2003 р.), «Принципи ризикменеджменту електронного банкінгу» (№ 98, липень 2003 р.).