Система оцінювання ризиків: ОПЕРАЦІЙНО-ТЕХНОЛОГІЧНИЙ РИЗИК
ОПЕРАЦІЙНО-ТЕХНОЛОГІЧНИЙ РИЗИК
Фактори оцінки
Для оцінки операційнотехнологічного ризику наглядовці мають ураховувати викладені нижче фактори. Ці фактори є рекомендованими критеріями; їх перелік може бути розширений наглядовцями в разі потреби. Вони є оглядом моментів, які можуть допомогти наглядовцю ухвалити рішення в межах системи оцінки ризиків. Фактичні дані наявної в банку постійно діючої системи оцінки та контролю ризиків мають забезпечувати прийняття керівництвом адекватних та ефективних рішень і враховуються наглядовцями під час оцінювання ризику банку.
Це такі фактори:
- існування адекватної, ефективної, доведеної до виконавців внутрішньої нормативної бази (положень, процедур тощо) щодо управління операційнотехнологічним ризиком, затвердженої відповідними органами банку виходячи з принципів корпоративного управління, а також відповідної практики виконання її вимог;
- кількість та складність оброблення операцій порівняно з рівнем розвитку й потужністю операційних та контрольних систем, ураховуючи попередні результати роботи цих систем, їхній поточний стан та перспективи подальшого вдосконалення;
- імовірність технологічних та операційних збоїв, перевищення повноважень персоналом, недоліки в попередньому аналізі операцій під час прийняття рішень, а також відсутність (у тому числі тимчасова) моніторингу або реєстрації операцій з клієнтами або контрагентами;
- наявність та дотримання банком технологічних карт здійснення операцій;
- наявність, кількість, причини та характер порушень процедур адміністративного й облікового контролю;
- потенційна можливість фінансових збитків унаслідок: помилки виконавців або шахрайства;
- низької операційної конкурентоспроможності банку; неадекватності наявних інформаційних систем;
- неповної інформації щодо контрагента або операції; операційних та технологічних збоїв;
- історія та характер скарг та звернень клієнтів до банку у зв’язку з недоліками роботи операційних систем та реакція на них банку;
- обсяги та адекватність засобів контролю за банківським програмним забезпеченням та його супроводженням та іншими послугами, які здійснюються із залученням третіх осіб (аутсорсингу);
- адекватність стратегії щодо інформаційних технологій. Стратегія щодо інформаційних технологій має відповідати поточним та передбачуваним вимогам щодо діяльності банку і враховувати структуру технічних засобів, телекомунікаційних засобів, програмного забезпечення, даних і мереж, а також цілісність інформаційної бази даних;
- існування процесу для:
- визначення інформаційних потреб для ефективного управління банком;
- визначення архітектури інформаційних систем для оброблення операцій і надання продуктів та послуг;
- забезпечення достовірності та збереження інформації (наприклад, створення, оброблення, зберігання та надання даних). Це охоплює планування заходів забезпечення безперервної діяльності;
- забезпечення своєчасної підготовки й використання управлінської інформації;
- рівень кваліфікації та навичок менеджерів і працівників; існування належних механізмів контролю для моніторингу
- точності інформації, належних облікових підходів і дотримання положень або законів.
Кількісні параметри операційно-технологічного ризику
Кількість операційнотехнологічного ризику можна оцінити, враховуючи такі фактори.
Незначна
|
Помірна
|
Значна
|
Ідентифікація клієнта, аналіз операції перед її здійсненням, процедури є стандартизованими
|
Ідентифікацію клієнта, аналіз операції перед її здійсненням і процедури важко стандартизувати через складність схем проведення операцій у межах окремих продуктів
|
Ідентифікацію клієнта, аналіз операції перед її здійсненням і процедури неможливо стандартизувати через складність схем проведення операцій у межах окремих продуктів
|
Кількість операцій та технологічна складність їх оброблення є низькими і відповідають рівню розвитку операційних систем
|
Кількість операцій та технологічна складність їх оброблення наражають банк на певний ризик. Рівень розвитку операційних систем достатньо забезпечує оброблення операцій
|
Рівень технологічного оброблення операцій та стан розвитку операційних систем є невідповідними й мають вади
|
Банк повністю виконує вимоги щодо розрахункових та касових операцій
|
Існують певні порушення розрахунковокасової дисципліни
|
Існують значні порушення розрахунковокасової дисципліни
|
Схеми проведення операцій прості та стандартизовані, середній розмір та кількість проведення операцій у різних часових зонах невеликі
|
Схеми проведення операцій характеризуються певною складністю, можуть мати місце відхилення від стандартних схем проведення операцій, середній розмір операцій значний, кількість їх проведення в різних часових зонах помірна
|
Схеми проведення операцій характеризуються як складні і майже не стандартизовані, середній розмір операцій великий, кількість їх проведення в різних часових зонах значна
|
Розширення кількості та спектра банківських послуг відповідає планам керівництва. Плани впровадження є чіткими і виконуються
|
Розширення кількості та спектра банківських послуг у цілому відповідає планам керівництва. Плани впровадження загалом чіткі, але не завжди мають комплексний характер
|
У банку немає адекватних планів розширення кількості та спектра послуг
|
Якість управління операційнотехнологічним ризиком можна оцінити, враховуючи такі фактори.
Висока
|
Потребує вдосконалення
|
Низька
|
Положення банку, затверджені відповідними органами банку згідно з принципами корпоративного управління, де розглядається операційнотехнологічний ризик, є добре розробленими і повністю достатніми
|
Положення банку, затверджені відповідними органами банку згідно з принципами корпоративного управління, де розглядається операційнотехнологічний ризик, є загалом достатніми
|
Положення банку не враховують усіх аспектів операційнотехнологічного ризику та не є адекватними йому
|
Керівництво повністю розуміє всі аспекти операційнотехнологічного ризику
|
Керівництво достатньо розуміє основні аспекти операційнотехнологічного ризику
|
Керівництво не розуміє або ігнорує основні аспекти операційнотехнологічного ризику
|
Керівництво передбачає та належно реагує на зміни величини операційнотехнологічного ризику
|
Керівництво адекватно реагує на зміни величини операційнотехнологічного ризику
|
Керівництво не передбачає або не вживає своєчасних і належних заходів у відповідь на зміни величини операційнотехнологічного ризику
|
Стратегія і положення щодо інформаційних технологій повністю виконуються й забезпечені достатньою ресурсною базою
|
Стратегія і положення щодо інформаційних технологій загалом виконуються й забезпечені в цілому адекватною ресурсною базою
|
Стратегія і положення щодо інформаційних технологій не виконуються та (або) не забезпечені належною ресурсною базою
|
Банк має історію відсутності операційних збоїв. Імовірність того, що банк не зможе відновити та обробити операцію надалі, є мінімальною завдяки наявності надійних засобів внутрішнього контролю
|
Банк має історію відсутності значних операційних збоїв. Імовірність того, що банк не зможе відновити та обробити операцію надалі, зведено до мінімуму завдяки існуванню загалом надійних засобів контролю
|
Існують факти значних (за кількістю та (або) наслідками) операційних збоїв. Імовірність неспроможності відновити та обробити операцію надалі є високою через брак ефективних засобів внутрішнього контролю
|
Рівень операційного контролю в банку високий. Системи внутрішнього контролю, аудит та плани на випадок кризових обставин є ефективними
|
Рівень операційного контролю в банку адекватний. Системи внутрішнього контролю, аудит та плани на випадок кризових обставин є достатніми
|
Рівень операційного контролю в банку неадекватний. Системи внутрішнього контролю, аудит та плани на випадок кризових обставин мають значні недоліки
|
Управлінська інформація є цілком задовільною
|
Недоліки управлінської інформації щодо оброблення операцій є незначними
|
Управлінська інформація щодо оброблення операцій має значні недоліки
|
Кількість, кваліфікація та досвід персоналу цілком задовільні. Ринок пропонує достатню кількість кваліфікованого персоналу
|
Наявна кількість і якість персоналу викликає занепокоєння. На ринку робочої сили бракує відповідних знань і досвіду
|
Наявна кількість і якість персоналу є недостатньою. Працівників із необхідними знаннями та досвідом важко знайти на ринку
|
Узагальнені висновки
Кількість операційнотехнологічного ризику:
Якість управління операційнотехнологічним ризиком:
Висока
|
Потребує вдосконалення
|
Низька
|
Інспектори мають ураховувати як кількість операційнотехнологічного ризику, так і якість управління ним, щоб зробити такі висновки:
Сукупний операційно-технологічний ризик:
Очікується, що напрям зміни ризику буде:
Такий, що зменшується
|
Стабільний
|
Такий, що зростає
|
|