Фактори оцінки
Це такі фактори:
• існування адекватної, ефективної, доведеної до виконавців внутрішньої нормативної бази (положень, процедур тощо) щодо управління опера- ційно-технологічним ризиком, затвердженої відповідними органами ба- нку, виходячи з принципів корпоративного управління, а також відпові- дної практики виконання її вимог;
• кількість та складність обробки операцій у порівнянні з рівнем розвитку і потужністю операційних і контрольних систем, враховуючи попередні результати роботи цих систем, їх поточний стан та перспективи подаль- шого вдосконалення;
• ймовірність технологічних та операційних збоїв, перевищення повнова- жень персоналом, недоліки в попередньому аналізі операцій під час прийняття рішень, а також відсутність (у тому числі тимчасова) моніто- рингу або реєстрації операцій із клієнтами або контрагентами;
• наявність та дотримання банком технологічних карт здійснення операцій;
• наявність, кількість, причини та характер порушень процедур адмініст-
ративного і облікового контролю;
• потенційна можливість фінансових збитків унаслідок: помилки вико- навців або шахрайства; низької операційної конкурентоспроможності банку; неадекватності наявних інформаційних систем; неповної інфор- мації щодо контрагента або операції; операційних та технологічних збо- їв; історія та характер скарг та звернень клієнтів до банку у зв’язку з не- доліками роботи операційних систем, реакція на них банку; обсяги та адекватність засобів контролю за банківським програмним забезпечен- ням, його супроводженням та іншими послугами, які здійснюються із залученням третіх осіб (аутсорсингу);
• адекватність стратегії щодо інформаційних технологій, стратегія щодо інформаційних технологій має відповідати поточним та передбачуваним вимогам щодо діяльності банку і враховувати структуру технічних засо- бів, телекомунікаційних засобів, програмного забезпечення, даних і ме- реж, а також цілісність інформаційної бази даних;
• існування процесу для визначення інформаційних потреб для ефектив- ного управління банком; визначення архітектури інформаційних систем для обробки операцій і надання продуктів та послуг; забезпечення достовірності та збереження інформації (наприклад, створення, обробка, зберігання та надання даних).
Це включає планування заходів забезпе- чення безперервної діяльності; забезпечення своєчасної підготовки і ви- користання управлінської інформації; рівень кваліфікації та навичок ме- неджерів та працівників;• існування належних механізмів контролю для моніторингу точності ін- формації, належних облікових підходів і дотримання положень або законів.
Кількісні параметри операційно-технологічного ризику
Незначна Помірна Значна Ідентифікація клієнта, аналіз операції перед її здійснен- ням, процедури є стандар- тизованими Ідентифікацію клієнта, аналіз операції перед її здійсненням
і процедури важко стандартизу-
вати через складність схем про-
ведення операцій у рамках окре-
мих продуктів Ідентифікацію клієнта, аналіз операції перед її здійсненням і процедури неможливо стан-
дартизувати через складність схем проведення операцій
у рамках окремих продуктів Кількість операцій та техно- логічна складність їх оброб- ки є низькими і відповідають рівню розвитку операційних систем Кількість операцій та технологічна складність їх обробки наражають банк на певний ризик. Рівень роз- витку операційних систем достат- ньо забезпечує обробку операцій Рівень технологічної обробки операцій та стан розвитку операційних систем є невід- повідними і мають недоліки Банк повністю виконує вимо- ги до розрахункових та ка- сових операцій Існують певні порушення розра-
хунково-касової дисципліни Існують значні порушення розрахунково-касової дисци- пліни
Незначна Помірна Значна Схеми проведення операцій прості та стандартизовані, середній розмір та кількість проведення операцій у різ- них часових зонах невеликі Схеми проведення операцій ха- рактеризуються певною складніс- тю, можуть бути відхилення від стандартних схем проведення операцій, середній розмір опера- цій значний, кількість їх прове- дення в різних часових зонах помірна Схеми проведення операцій характеризуються як складні і практично нестандартизо- вані, середній розмір опера- цій великий, кількість їх
проведення в різних часових зонах значна Розширення кількості та спектра банківських послуг відповідає планам керівниц- тва. Плани впровадження
є чіткими і виконуються Розширення кількості та спектра банківських послуг в цілому від- повідає планам керівництва.
Плани впровадження загалом чіткі, але не завжди мають комплексний характер У банку немає адекватних планів розширення кількості та спектра послугЯкість управління операційно-технологічним ризиком
Висока Потребує вдосконалення Низька Положення банку, затвер- джені відповідними орга- нами банку, згідно з прин- ципами корпоративного управління, де розгляда- ється операційно- технологічний ризик, є добре розробленими
і повністю достатніми Положення банку, затверджені відповідними органами банку, згідно з принципами корпорати- вного управління, де розгляда- ється операційно-технологічний ризик, є загалом достатніми Положення банку не врахову- ють всіх аспектів операційно- технологічного ризику і не є адекватними йому Керівництво повністю ро- зуміє всі аспекти операцій- но-технологічного ризику Керівництво достатньою мірою розуміє основні аспекти опера- ційно-технологічного ризику Керівництво не розуміє або ігнорує основні аспекти опера- ційно-технологічного ризику Керівництво передбачає та належним чином реагує на зміни величини операцій- но-технологічного ризику Керівництво адекватно реагує на зміни величини операційно- технологічного ризику Керівництво не передбачає або не вживає своєчасних та нале- жних заходів у відповідь на змі- ни величини операційно- технологічного ризику Стратегія і положення що- до інформаційних техноло- гій повністю виконуються
і забезпечені достатньою ресурсною базою Стратегія і положення щодо інформаційних технологій зага- лом виконуються і забезпечені
в цілому адекватною ресурсною базою Стратегія і положення щодо інформаційних технологій не виконуються та/або не забезпе- чені належною ресурсною ба- зою Банк має історію відсутно- сті операційних збоїв. Імо- вірність того, що банк не зможе відновити та обро- бити операцію надалі, є мінімальною завдяки наяв- ності надійних засобів вну- трішнього контролю Банк має історію відсутності значних операційних збоїв. Імо- вірність того, що банк не зможе відновити та обробити операцію надалі, зведено до мінімуму завдяки існуванню загалом надійних засобів контролю Існують факти значних (за кіль- кістю та/або наслідками) опера- ційних збоїв.
Імовірність не- спроможності відновлення та обробки операції надалі є висо- кою через відсутність ефектив- них засобів внутрішнього контролюВисока Потребує вдосконалення Низька Рівень операційного конт- ролю в банку є високим. Системи внутрішнього кон- тролю, аудит та плани на випадок кризових обставин є ефективними Рівень операційного контролю
в банку є адекватним. Системи внутрішнього контролю, аудит
та плани на випадок кризових обставин є достатніми Рівень операційного контролю
в банку є неадекватним. Систе-
ми внутрішнього контролю,
аудит та плани на випадок кризових обставин мають значні недоліки Управлінська інформація є цілком задовільною Недоліки управлінської інфор-
мації щодо обробки операцій
є незначними Управлінська інформація щодо обробки операцій має значні недоліки Кількість, кваліфікація та досвід персоналу цілком задовільні. Ринок пропонує достатню кількість кваліфі- кованого персоналу Наявна кількість і якість персо- налу викликає занепокоєння. На ринку робочої сили бракує від- повідних знань та досвіду Наявна кількість і якість персо- налу є недостатньою. Працівни- ків із необхідними знаннями
і досвідом важко знайти на ринку
Узагальнені висновки
Кількість операційно-технологічного ризику:
Незначна Помірна Значна
Якість управління операційно-технологічним ризиком:
Висока Потребує вдосконалення Низька
Інспектори мають враховувати як кількість операційно-технологічного ризику, так і якість управління ним, щоб зробити такі висновки:
Сукупний операційно-технологічний ризик:
Низький Помірний Високий
Очікується, що напрямок зміни ризику буде:
Такий, що зменшується Стабільний Такий, що зростає
…