В соответствии с письмом Банка России от 24.05.2005 № 76-Т «Об органи­зации управления операционным риском в кредитных организациях» под операционным риском понимается риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие не­преднамеренных или умышленных действий или бездействия), несоразмер­ности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Операционный риск связан с нарушениями процессов в банке, отсутстви­ем надлежащего внутреннего контроля, управления или неэффективности технологии осуществления вида деятельности.

Согласно письму Банка России внутренними и внешними факторами (причинами) операционного риска являются:

— случайные или преднамеренные действия физических и (или) юридиче­ских лиц, направленные против интересов кредитной организации;

— несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их докумен­тирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля;

— сбои в функционировании систем и оборудования;

— неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации.

Операционные риски классифицируются по источникам и по объектам, на которых они реализуются. Операционные риски, проклассифицирован­ные по источникам, называются категориями (типами) операционного риска.

Информационный риск (технологический риск сбоев оборудования, программного обеспечения, риск потери или утечки информации).

Риск персонала (риск случайных разовых ошибок, риск ошибочной орга­низационной структуры банка, приводящей либо к дублированию функций, либо к «выпадению» отдельных видов функций в реализуемых процессах кон­кретных видов деятельности, риск недостаточной квалификации работников, риск несоблюдения работниками банка установленных правил, процедур и регламентов, риск перегрузки персонала и другие).

Риск внешних источников воздействия на внутренние объекты, процес­сы и технологии банка с дальнейшей идентификацией по факторам данного риска (риск несанкционированного проникновения в процессы банка, риск катастроф, другие внешние воздействия).

Вышеуказанные категории (источники) риска распределяются на виды риска в зависимости от вида объекта, на котором они проявляются. К ука­занным объектам операционного риска относятся отдельные направления деятельности (бизнес-линии), в наибольшей степени подверженные выше­указанным источникам риска.

Для идентификации, оценки и снижения вероятности повторения опера­ционного риска составляется карта риска для каждой операции или процесса, наиболее полно описывающая его характеристики.

Пример такой карты приведен ниже (табл. 7.7).