Описание аудиторских процедур

Служба внутреннего аудита должна осуществлять проверки как подразделений, ответственных за принятие рисков, так и подразделений, осуществляющих управление операционным риском в кредитной организации. Таким образом, оценку управления операционными рисками необходимо осуществлять в проверках по всем направлениям банковской деятельности.

Общая организация управления операционными рисками

• 1. Проверка определения во внутренних документах кредитной организации полномочий руководителей структурных подразделений в области управления операционным риском и их ответственность за выявление операционного риска, присущего деятельности этих подразделений.
• 2. Наличие выделенного Департамента по управлению операционными рисками (или сотрудника) с четко определенными целями, задачами и сферами ответственности в области управления операционными рисками:
  • • провести анализ нормативных документов Банка, регулирующих деятельность Подразделения по управлению операционными рисками (ПУОР/сотрудника) на их полноту, детальное описание целей, задач и сфер ответственности, своевременность обновления и утверждения процедур с соответствующим уровнем руководства кредитной организации;
  • • убедиться в наличии процедур по управлению операционным риском, регламентирующих методы выявления и оценки принятого операционного риска в отношении различных направлений деятельности кредитной организации (дочерних организаций), в том числе методы оценки и анализа вероятности реализации операционного риска;
  • • убедиться в наличии следующих нормативных документов: порядок ведения аналитической базы данных об убытках, порядок проведения стресс-тестирования.
• 3. Проверка доведения нормативных документов до сведения сотрудников под роспись.

А. Организация независимого от бизнес-подразделений ПУОР (сотрудника):

• • оценка независимости ПУОР (сотрудника): ПУОР/сотрудник не находится в прямом подчинении у бизнес-подразделений Банка; ДУОР/сотрудник подотчетен руководителю управления рисками или руководителю кредитной организации;
• • наличие функционирующих комитетов по риску (операционному риску) с прямым подчинением совету директоров;
• • убедиться в проведении комитетов с установленной периодичностью (например, ежеквартально);
• • необходимо удостовериться в наличии нормативного документа, регламентирующего деятельность комитетов по операционным рискам;
• • запросить материалы, презентации, протоколы по последним комитетам и убедиться, что результаты всех инструментов по управлению операционными рисками (данные по операционным потерям, по самооценке, по стресс-тестированию, по ключевым риск индикаторам, а также по обеспечению непрерывности деятельности и ИТ-безопасности) представлялись руководителям подразделений, единоличному и коллегиальному исполнительным органам и совету директоров;
• • наличие соответствующих полномочий у сотрудников ПУОР касательно полного доступа ко всей информации по операционном}' риску.
• 5. Проверка уровня знаний и квалификации сотрудников кредитной организации в сфере операционных рисков:
  • • запросить у службы кадров резюме или трудовые книжки сотрудника/сотрудников ПУОР для оценки их знаний и опыта в сфере управления операционным риском;
  • • запросить у соответствующего подразделения кредитной организации список тренингов, как внешних, так и внутренних, которые прошли сотрудники ПУОР за последний год. Убедиться, что сотрудники поддерживают соответствующий уровень профессиональной квалификации;
  • • убедиться в проведении обучения сотрудников кредитной организации в сфере операционных рисков.