Для минимизации операционного риска организация осуществляет регулирование операционного риска[74]. При определении методов ограничения (минимизации) операционных рисков организация подразделяет факторы операционного риска на подконтрольные (контролируемый[75] операционный риск) и неподконтрольные (остаточный операционный риск).
В целях ограничения операционных рисков при освоении новых направлений деятельности, продуктов, технологий и изменения ключевых бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.
В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:
● способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);
● способы покрытия отдельных видов возможных потерь от реализации операционных рисков (создание резервов, распределение капитала и страхование).
В части подконтрольных факторов операционного риска организация осуществляет следующие меры (мероприятия):
● разработку организационной структуры, правил и процедур совершения банковских операций и других сделок;
● разработку порядка утверждения (согласования) и подотчётности по заключаемым сделкам и проводимым операциям;
● обеспечение информационной безопасности за счёт:
• разработки нормативно-методических документов, регламентирующих осуществление деятельности по защите информации;
• разработки и реализации комплекса организационно-технических мероприятий по защите информационных активов от возможных угроз;
• обеспечения резервирования данных, направленного на сохранение и возможность восстановления информационных активов в случае возникновения сбоев и отказов технических и программных средств, ошибочных действий персонала, техногенных аварий и других непредвиденных обстоятельств;
• проведения аудита информационно-технологических систем в целях выявления неучтённых ранее источников операционного риска;
● снижение операционных рисков путём внедрения новых информационных технологий и автоматизации бизнес-процессов, совершаемых в «ручном» режиме;
● внедрение квалификационных требований, повышение уровня квалификации персонала, обучение новым информационным технологиям и правилам обеспечения информационной безопасности на рабочем месте, материальное стимулирование и улучшение условий труда, применение санкций за нарушения технологий, установление персональных лимитов полномочий и пр.;
● установление структурных лимитов;
● осуществление страхования:
• зданий и иного имущества – от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;
• персонала – от несчастных случаев и причинения вреда здоровью;
• носителей информации и самой информации – на случай утраты;
• специфических рисков, в том числе связанных с профессиональной ответственностью персонала, ущерба от преступлений в сфере компьютерной информации.
В части неподконтрольных факторов операционного риска организацией осуществляются:
● стресс-тестирование – построение различных сценариев развития событий;
● разработка и внедрение комплексной системы мер по обеспечению непрерывности финансово-хозяйственной деятельности организации, включая планы действий на случай непредвиденных обстоятельств.
Эффективность системы управления операционными рисками, в том числе предотвращение операционных рисков, основывается на качественной системе внутреннего контроля в организации. Создание эффективных процедур, которые в совокупности составляют единую систему внутреннего контроля, является основным методом управления операционными рисками. Процедуры внутреннего контроля являются обязательным элементом при осуществлении всех бизнес-процессов, что позволяет сократить вероятность и последствия реализации операционного риска.