ОПЕРАЦІЙНО-ТЕХНОЛОГІЧНИЙ РИЗИК

Стаття 33. Операційно-технологічний ризик та джерела його виникнення

Операційно-технологічний ризик - це потенційний ризик для довгострокового існування банківської установи, що виникає через недоліки корпоративного управління, системи внутрішнього контролю або неадекватність інформаційних технологій і процесів обробки інформації з точки зору керованості, універсальності, надійності, контрольованості і безперервності роботи.

Такі недоліки можуть призвести до фінансових збитків через помилку, невчасне виконання робіт або шахрайство або стати причиною того, що інтереси банку постраждають в якийсь інший спосіб, наприклад, дилери, кредитні працівники або інші працівники банку перевищать свої повноваження або здійснюватимуть операції в порушення етичних норм або із занадто високим ризиком.

Операційно-технологічний ризик виникає також через неадекватність стратегії, політики і використання інформаційних технологій. До інших аспектів операційно-технологічного ризику належать ймовірність непередбачених подій, на зразок пожежі або стихійного лиха.

Стаття 34. Компоненти системи управління ризиками відносно операційно-технологічного ризику

Система контролю операційно-технологічного ризику банку складається із регламентних документів - політик, положень, процедур, процесів тощо, - які затверджуються спостережною радою або правлінням банку відповідно до обраної ним форми корпоративного управління, з урахуванням розміру банку та складності його операцій.

Система контролю операційно-технологічним ризиком банку має містити, як мінімум, такі компоненти:

• політику та положення щодо контролю операційно-технологічного ризику з метою його мінімізації, які мають бути розглянуті та затверджені спостережною радою або правлінням банку, відповідно до принципів корпоративного управління. Такі політика та положення мають підлягати періодичному перегляду як це передбачено статтею 10 цього документа;
• процедури і засоби контролю операційно-технологічного ризику, що притаманні операціям банку, в тому числі:
• процедури та засоби контролю за дотриманням облікової політики банку та вимог нормативно-правових актів Національного банку щодо методів оцінки активів та складання звітності;
• процедури та засоби контролю за функціонуванням інформаційних систем банку та забезпечення безперебійної діяльності, зокрема процеси дублювання і відновлення інформації, а також резервні системи на випадок втрати доступу або знищення важливої інформації або технологій;
• інформаційну систему управління (набір форм звітності, схему документообігу тощо) для спостережної ради, правління або профільних колегіальних органів банку щодо моніторингу уразливості всіх видів діяльності банку до операційно-технологічного ризику;
• програму управління персоналом, котра охоплює:
• постійний, ефективний процес залучення і утримання достатньої кількості кваліфікованого персоналу, що відповідає потребам банку та зовнішнім обставинам, з метою виконання завдань його діяльності і реалізації стратегії та бізнес-планів;
• чітко визначені і продумані рівні повноважень з прийняття рішень;
• чітке доведення до персоналу його обов'язків;
• контроль за діяльністю персоналу;
• розроблення і впровадження процесу навчання з метою підвищення кваліфікації працівників;
• технологічні схеми (карти) продуктів та послуг банку, що підтримуються в постійно актуальному стані;
• процедури забезпечення потреб банку в інфраструктурі (зокрема в програмному, апаратному та іншому забезпеченні), у відповідності до його обсягів та складності поточної та запланованої діяльності. Такі процедури мають передбачати санкціонування, тестування та документування всіх операційно-технологічних систем банку перед початком їх експлуатації, а також механізми їх актуалізації, в тому числі перевірку чинності ліцензійних угод;
• процес періодичного тестування встановлених процедур та технологій здійснення операцій, в тому числі процедур фізичної та інформаційної безпеки, з метою контролю за дотриманням цих процедур і технологій та збору інформації щодо їх можливого вдосконалення у разі їх неефективності.

Крім того для належного контролю за операційно-технологічним ризиком рекомендується:

• забезпечити надійне позаофісне зберігання всіх важливих резервних документів і файлів банку;
• у разі використання банком послуг аутсорсингу, забезпечення чіткої регламентації наступних питань:
• обставин, за яких можуть використовуватись послуги аутсорсингу та переліку операцій, до яких можуть бути залучені сторонні особи;
• процедур та критеріїв вибору постачальників послуг;
• моніторингу якості роботи і ризиків, пов'язаних з використанням сторонніх постачальних послуг.

Банкам також наполегливо рекомендується враховувати найкращий світовий досвід управління операційно-технологічним ризиком, який, зокрема, викладений в документах Базельського комітету з банківського нагляду "Надійна практика управління та нагляду за операційним ризиком" (N 96 лютий 2003 року), "Принципи ризик-менеджменту електронного банкінгу" (N 98 липень 2003 року).