Страница 10 из 17
Процесс идентификации состоит из следующих процедур:
● классификация (кодификация) типов возможных неблагоприятных[63] событий в разрезе источников[64] (причин) рисков;
● сбор данных о внутренних и внешних событиях, их распределение по классификационным видам (категориям), определение типов и количества полученных и потенциальных потерь.
События реализации операционного риска происходят как при возникновении отдельных факторов, так и в результате сочетания нескольких факторов операционного риска, и организация определяет принадлежность каждого инцидента потерь (события реализации операционного риска) к тому или иному типу операционных рисков по следующим основным категориям:
● внутреннее мошенничество[65]:
• коррупционные действия сотрудников (злоупотребление служебным положением вопреки законным интересам организации в целях получения личной выгоды либо выгоды третьим лицам);
• принудительные действия (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);
• сговор сотрудников организации с третьими лицами (передача сотрудниками организации информации о своих клиентах/контрагентах конкурентам, занижение ставок при продаже ресурсов и т. д.);
• сговор между сотрудниками с целью получения личной выгоды либо выгоды третьим лицам;
• умышленное уничтожение материальных активов и информации, преднамеренное сокрытие или искажение фактов совершения сделок и заключения договоров;
• преднамеренное превышение установленных лимитов с целью получения личной выгоды либо выгоды третьим лицам;
• воровство (непосредственное присвоение наличных денежных средств или материальных активов);
• мошеннические операции при расчётно-кассовом обслуживании (присвоение или растрата денежных средств, использование поддельных купюр, обман при совершении расчётов с клиентами и т. п.);
• мошеннические операции со счетами клиентов (неправомерное списание средств со счетов, использование счетов клиентов для перевода денежных средств, отнесение собственных расходов на счета клиентов, манипулирование со счётом клиента и т. д.);
• мошенничество с валютными операциями (злоупотребления при проведении конверсионных операций, учёте валютных средств организации и т. п.);
• мошеннические операции с кредитами (выдача фиктивных кредитов, подделка документов при предоставлении кредитов; выдача кредитов под несуществующие залоги и т. п.);
• мошенничество с ценными бумагами (противоправные манипуляции с ценными бумагами);
• мошенничество при совершении бухгалтерских операций (противоправные манипуляции с бухгалтерскими счетами, необоснованное завышение и занижение сумм проводок, использование средств временно не используемых счетов и т. д.);
• мошенничество в сфере хозяйственных операций (присвоение доходов от заключённых договоров с поставщиками, подрядчиками, присвоение доходов от арендной платы и т. п.);
• мошенничество в сфере информационных систем и технологий;
● внешнее мошенничество[66]:
• воровство (непосредственное присвоение наличных денежных средств или материальных активов);
• грабёж (открытое хищение имущества без применения насилия или с применением насилия, не опасного для жизни и здоровья, либо с угрозой применения такого насилия);
• разбой (нападение в целях хищения имущества с применением опасного для жизни или здоровья насилия либо с угрозой применения такого насилия);
• принудительные действия к сотруднику со стороны третьих лиц (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);
• подделка, подлог (документов, удостоверяющих личность, печатей, доверенностей, платёжных документов, денежных купюр и т. п.);
• предоставление заведомо ложных сведений о юридическом статусе, финансовом положении и т. п.;
• взлом системы безопасности или доступа в автоматизированную систему организации, генерация фальшивых электронных проводок или операций в платёжной банковской системе;
• взлом системы безопасности работы системы дистанционного обслуживания, криптографической защиты клиентских платежей в расчётных системах, генерация фальшивых электронных поручений от имени клиентов по управлению клиентскими счетами;
• несанкционированный дистанционный доступ третьих лиц к информационным активам организации с целью кражи информации, модификации и/или её уничтожения;
• внедрение в систему компьютерных вирусов и вредоносных программ, в том числе посредством использования электронной почты;
• несанкционированный физический доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов;
● кадровая политика и безопасность труда[67]:
• нарушение договорных отношений в вопросах оплаты труда, выходных пособий, вознаграждения, компенсации сотрудникам, ошибки при найме и увольнении;
• нарушение норм охраны здоровья и безопасности труда;
• все типы дискриминации (по расовому, национальному, религиозному, половому и иным признакам);
● ошибки в клиентской практике, условиях продажи продуктов, во взаимоотношениях с клиентами[68]:
• недостатки в раскрытии информации о клиенте и контрагенте (принцип «Знай своего клиента»);
• недостатки клиентской политики (неприемлемость сотрудничества с отдельными клиентами/контрагентами);
• нарушения, связанные с раскрытием конфиденциальной информации клиента/контрагента, злоупотребление конфиденциальной информацией;
• нарушение со стороны организации фидуциарных отношений[69];
• нарушение организацией обязательств кредитора;
• нарушение организацией обязательств по расчётно-кассовому обслуживанию;
• неправильная деловая или рыночная практика;
• нарушение законодательства по противодействию отмыванию доходов, полученных преступным путём, финансирования терроризма;
• осуществление нелицензированной деятельности (предоставление услуг, подлежащих лицензированию, при отсутствии необходимой лицензии либо специального разрешения);
• практика проведения банковских операций, не соответствующая общепринятой деловой или рыночной практике;
• изъяны в продуктах расчётно-кассового обслуживания (претензии клиентов в части скорости обработки информации, документооборота, «ручной» обработки данных, тарифы, комиссии и т. п.);
• изъяны в продуктах дистанционного банковского обслуживания;
• изъяны в банковских продуктах с предоставлением посреднических услуг (в том числе конверсионные операции);
• изъяны в банковских продуктах по кредитованию;
• изъяны в иных банковских продуктах (за исключением расчётно-кассового обслуживания, дистанционного банковского обслуживания, посреднических операций);
• невыполнение требований по изучению клиентов;
• превышение лимитов риска на одного клиента/контрагента;
• разногласия в оценках результатов консалтинговых услуг;
● причинение ущерба физическим активам[70]:
• причинение ущерба физическим активам в результате катастроф (природных и техногенных), терроризма, вандализма и иных форс-мажорных обстоятельств;
• причинение ущерба физическим активам в результате обстоятельств, не являющихся форс-мажорными;
● нарушения в системах ведения бизнес-процессов и сбои информационно-технологических систем[71]:
• сбои программного обеспечения, информационных систем и технологий;
63
Любое идентифицируемое событие или действие в процессах или операциях организации, не имеющее текущий процедурный характер, следствием которого является получение тех или иных потерь.
64
Причины возникновения случайных или возможных событий, воздействующих на объекты риска и приводящих к ухудшению качества (сбоям) систем и процессов и (или) финансовым потерям организации.
65
Хищение чужого имущества или приобретение права на чужое имущество путём обмана или злоупотребления доверием.
66
Намерение совершить мошенничество, похитить имущество или нарушить нормы применимого законодательства с участием третьей стороны.
67
Нарушение законодательства о труде страны местопребывания организации, внутренних нормативных актов, безопасности труда и охраны здоровья или нарушение, связанное с выплатами по искам о нанесении личного ущерба или искам в связи с дискриминацией.
68
Непреднамеренная халатность в выполнении профессиональных обязательств по отношению к конкретным клиентам (включая доверительные и квалификационные требования) или потери вследствие характера или конструкции продукта.
69
Финансовые услуги, связанные с управлением активами (денежные средства, ценные бумаги, коммерческая недвижимость), в частности с использованием фидуциарных счетов, фидуциарных депозитов, фидуциарных кредитов, а также фидуциарного управление ценными бумагами и коммерческой недвижимостью.
70
Убытки вследствие ущерба или повреждения физических активов в результате природных катастроф или прочих событий.
71
Убытки вследствие нарушений в ведении бизнеса и системных сбоев.