Menu

Операційно-технологічний ризик

у Фінанси108 Переглядів Vitaliy Kravchenko

Операційно-технологічний ризик — це потенційний ризик для існування банку, який виникає через недоліки корпоративного управління, системи внутрішнього контролю або неадекватності інформаційних технологій та процесів обробки інформації з погляду керованості, універсальності, надійності, контрольованості та безперервності роботи цих технологій.

Такі недоліки можуть призвести до фінансових збитків через помилку, несвоєчасне виконання робіт або шахрайство або стати причиною того, що інтереси банку постраждають якимось іншим способом, наприклад, дилери, кредитні працівники та інші працівники банку перевищать свої повноваження або здійснять операції в порушення етичних норм або із надто високим ризиком.

Операційно-технологічний ризик виникає також через неадекватність стратегії, політики та використання інформаційних технологій. До інших аспектів операційно-технологічного ризику належить ймовірність непередбачених подій (пожежа чи стихійне лихо).

Для оцінки операційно-технологічного ризику працівники нагляду повинні враховувати такі фактори:

  1. існування адекватної, ефективної, доведеної до виконавців внутрішньої нормативної бази (положень, процедур) з управління операційно-технологічним ризиком, затвердженої відповідними органами банку, виходячи з принципів корпоративного управління, а також відповідної практики виконання її вимог;
  2. кількість та складність обробки операцій порівняно з рівнем розвитку та потужністю операційних та контрольних систем, враховуючи попередні результати роботи цих систем, їх поточний стан та перспективи подальшого вдосконалення;
  3. ймовірність технологічних та операційних збоїв, перевищення повноважень персоналом, недоліки у попередньому аналізі операцій при прийнятті рішень, а також відсутність моніторингу чи реєстрації операцій із клієнтами чи контрагентами;
  4. наявність та дотримання банком технологічних карт здійснення операцій, наявність, кількість, причини та характер порушень процедур адміністративного та облікового контролю;
  5. потенційна можливість фінансових збитків унаслідок:
    • помилки виконавців чи шахрайства;
    • низької операційної конкурентоспроможності банку;
    • неадекватність існуючих інформаційних систем;
    • неповної інформації щодо контрагенту або операції;
    • операційних та технологічних збоїв;
  6. історія та характер скарг та звернень клієнтів до банку у зв’язку з недоліками роботи операційних систем та реакція на них банку;
  7. обсяги та адекватність засобів контролю за банківським програмним забезпеченням та його супроводом та іншими послугами, що здійснюються із залученням третіх осіб (аутсорсингу);
  8. адекватність стратегії з інформаційних технологій. Стратегія за інформаційними технологіями повинна відповідати поточним та передбачуваним вимогам діяльності банку та враховувати структуру технічних засобів, телекомунікаційних засобів, програмного забезпечення, даних та мереж, а також цілісність інформаційної бази даних;
  9. наявність процесу для:
    • визначення інформаційних потреб для управління банком;
    • визначення архітектури інформаційних систем для обробки операцій та надання продуктів та послуг;
    • забезпечення достовірності та збереження інформації на основі забезпечення безперервної діяльності;
    • забезпечення своєчасної підготовки та використання управлінської інформації;
  10. рівень кваліфікації та навичок менеджерів та працівників;
  11. існування належних механізмів контролю для моніторингу точності інформації, належних облікових підходів та дотримання положень чи законів.

Компоненти системи управління ризиками з операційно-технологічного ризику

Система контролю операційно-технологічного ризику банку складається з регламентних документів – політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.

Система контролю операційно-технологічного ризику повинна містити таке:

  • політику та положення щодо контролю за операційно-технологічним ризиком з метою його мінімізації, які мають бути розглянуті та затверджені відповідно до обраної банком форми корпоративного управління. Ці політики та положення мають періодично переглядатися;
  • процедури та засоби контролю за операційно-технологічним ризиком, властиві операціям банку, у тому числі:
    • процедури та засоби контролю щодо дотримання облікової політики банку та вимог нормативно-правових актів Національного банку щодо методів оцінки активів та складання звітності;
    • процедури та засоби контролю за функціонуванням інформаційних систем банку та забезпечення безперебійної діяльності, зокрема процеси дублювання та відновлення інформації, а також резервні системи у разі втрати доступу або знищення важливої ​​інформації чи технологій;
  • інформаційну систему управління (форми звітності, схеми документообігу тощо) для наглядової ради, правління або профільних колегіальних органів банку з моніторингу вразливості всіх видів діяльності банку операційно-технологічного ризику;
  • програму управління персоналом, яка включає:
    • постійний, ефективний процес залучення та утримання достатньої кількості кваліфікованого персоналу, що відповідає потребам банку та зовнішнім обставинам, з метою виконання завдань його діяльності та реалізації стратегії та бізнес-планів;
    • продумані та певні рівні повноважень щодо прийняття будь-яких рішень;
    • доведення до персоналу його обов’язків;
    • контроль за діяльністю персоналу;
    • розробка та впровадження процесу навчання з метою підвищення кваліфікації працівників;
  • технологічні схеми (карти) товарів та послуг банку, що підтримуються у постійно актуальному стані;
  • процедури забезпечення потреб банку в інфраструктурі (зокрема у програмному, апаратному та іншому забезпеченні) відповідно до його обсягу та складності поточної та планованої діяльності. Ці процедури повинні передбачати санкціонування, тестування та документування всіх операційно-технологічних систем банку перед початком їх експлуатації, а також механізми їхньої актуалізації, у тому числі перевірку дійсності ліцензійних угод;
  • процес періодичного тестування встановлених процедур та технологій здійснення операцій, у тому числі процедур фізичної та інформаційної безпеки, з метою контролю за дотриманням цих процедур та технологій та збору інформації про їх можливе вдосконалення у разі їх неефективності.

Крім того, для належного контролю за операційно-технологічним ризиком рекомендується:

  • забезпечити надійне позаофісне зберігання всіх важливих резервних документів та файлів банку;
  • у разі використання банком послуг аутсорсингу забезпечити чітку регламентацію таких питань:
    • обставин, за яких можуть використовуватись послуги аутсорсингу та переліку операцій, до яких можуть бути залучені сторонні особи;
    • процедур та критеріїв вибору постачальників послуг;
    • моніторингу якості роботи та ризиків, пов’язаних із використанням сторонніх постачальників послуг.

Банкам також настійно рекомендується враховувати найкращий світовий досвід управління операційно-технологічним ризиком, який, зокрема, викладено у положенні Базельського комітету з банківського нагляду «Надійна практика управління та нагляду з операційного ризику», «Принципи ризик-менеджменту електронного банкінгу».

Post Navigation

Ризик репутації

Система управління ризиком ліквідності

Вам також буде цікаво:

Внутрішня норма доходності

Хто такий монополіст?

20+ найкращих рекламних мереж у 2023 році для монетизації сайту

Залишити коментар:

Site Footer