Под операционными рисками понимаются риски банка, влекущие прямые и (или) косвенные потери (в т. ч. простои ресурсов) по следующим причинам, или под воздействием следующих факторов:
• случайные или преднамеренные действия физических и (или) юридических лиц, в том числе с участием сотрудников банка;
• несовершенство бизнес-процессов, в т. ч. организационной структуры банка в части распределения полномочий подразделений и служащих, порядка и процедур совершения банковских и других операций и сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядка и процедур, неэффективность внутреннего контроля;
• сбои в функционировании систем и оборудования;
• неблагоприятные внешние обстоятельства, находящиеся вне контроля банка (в т. ч. изменения законодательства, рыночной конъюнктуры, стихийных бедствий, других форс-мажорных обстоятельств).
Под инцидентом понимается любое событие, связанное с операционными рисками, которое может повлечь ущерб для банка (материальный, имиджевый, и т. д.). Общая классификация инцидентов приведена в Приложении 1. Для целей учета различают значимые и незначимые инциденты.
Значимыми инцидентамибанк, например, признает все инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей[3]. Значимые инциденты подлежат детальному учету (подробнее см. в разделе 6.1 «Эффективная работа с инцидентами»). К незначимым инцидентам, в таком случае, относятся иные инциденты (с меньшей суммой убытка).
Для целей анализа рисков и инцидентов (в т. ч. для расчета размера операционного риска) каждый идентифицированный риск, инцидент, убыток или проблема, обусловливающая риск, должны быть классифицированы по следующему списку критериев (список может быть расширен в рабочем порядке комитетом по рискам (см. п. 4.2.1):
3.3.1. По типу риска:
1. Риски техногенного, природного, социального характера.
2. Риски сбоев техники, программ, простоев.
3. Риски нарушений прав сотрудников, условий труда, конфликтов.
4. Риски ошибок в процессе обслуживания клиента или контрагента.
5. Риски ошибок внутреннего процесса, не связанного с обслуживанием клиента или контрагента.
6. Риски мошенничества и злоупотреблений с участием сотрудников банка.
7. Риски мошенничества и злоупотреблений с участием третьих лиц.
Эти типы рисков детализированы в Приложении 1.
3.3.2. По значимости:
1. Экстремальный (символьное обозначение AAA, красная зона).
2. Критичный (AA, красная зона).
3. Высокий (A, красная зона).
4. Средний (BB, желтая зона).
5. Низкий (B, желтая зона).
6. Допустимый (C, зеленая зона).
Эта шкала риска детализирована в Приложениях 2.1 и 2.2.
3.3.3. По бизнес-линии:
1. Банкинг физических лиц.
2. Банкинг юридических лиц.
3. Платежи и расчеты лиц, не являющихся клиентами банка.
4. Агентские услуги.
5. Биржевая и внебиржевая торговля.
6. Финансирование корпораций.
7. Управление активами.
8. Брокерские услуги.
Эти бизнес-линии детализированы в Приложении 3.
Могут использоваться и иные классификации риска.