Внутренними и внешними факторами (причинами) операционного риска являются:
● недостаточный уровень автоматизации процессов, отсутствие доступа к коммерческим базам данных, сбои/отказы автоматизированных либо информационных систем, а также перебои в работе и порча оборудования;
● несовершенство организационной структуры организации в части распределения полномочий структурных подразделений и отдельных сотрудников, порядков и процедур заключения сделок либо осуществления операций, их документирования и отражения в учёте;
● несоблюдение сотрудниками установленных порядков и процедур, неэффективность внутреннего контроля (т. н. организационный риск);
● недостаточная компетенция персонала, недостаток кадров и неустойчивость штата организации, зависимость от отдельных специалистов, несанкционированные действия персонала, а также мошеннические действия (риск персонала);
● неблагоприятные внешние обстоятельства, находящиеся вне периметра организации, случайные или преднамеренные действия физических и/или юридических лиц, направленные против её интересов.
Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования организации на предмет наличия или возможности возникновения факторов операционного риска, который осуществляется на нескольких уровнях:
● анализ изменений в финансовой сфере организации в целом (освоение новых направлений деятельности, продвижение на рынке новых банковских услуг, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности;
● анализ подверженности операционному риску направлений деятельности (бизнес-процессов) с учётом приоритетов организации;
● анализ отдельных операций и сделок организации;
● анализ внутренних процедур, включая систему отчётности и обмена информацией.
Процесс идентификации состоит из следующих процедур:
● классификация (кодификация) типов возможных неблагоприятных[63] событий в разрезе источников[64] (причин) рисков;
● сбор данных о внутренних и внешних событиях, их распределение по классификационным видам (категориям), определение типов и количества полученных и потенциальных потерь.
События реализации операционного риска происходят как при возникновении отдельных факторов, так и в результате сочетания нескольких факторов операционного риска, и организация определяет принадлежность каждого инцидента потерь (события реализации операционного риска) к тому или иному типу операционных рисков по следующим основным категориям:
● внутреннее мошенничество[65]:
• коррупционные действия сотрудников (злоупотребление служебным положением вопреки законным интересам организации в целях получения личной выгоды либо выгоды третьим лицам);
• принудительные действия (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);
• сговор сотрудников организации с третьими лицами (передача сотрудниками организации информации о своих клиентах/контрагентах конкурентам, занижение ставок при продаже ресурсов и т. д.);
• сговор между сотрудниками с целью получения личной выгоды либо выгоды третьим лицам;
• умышленное уничтожение материальных активов и информации, преднамеренное сокрытие или искажение фактов совершения сделок и заключения договоров;
• преднамеренное превышение установленных лимитов с целью получения личной выгоды либо выгоды третьим лицам;
• воровство (непосредственное присвоение наличных денежных средств или материальных активов);
• мошеннические операции при расчётно-кассовом обслуживании (присвоение или растрата денежных средств, использование поддельных купюр, обман при совершении расчётов с клиентами и т. п.);