2020 год уже не за горами, а это означает, что Банк России начнет оценивать, насколько банковские системы управления операционным риском соответствуют стандартам, прописанным в проекте Положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Финансово-кредитные организации должны были привести свои системы в соответствие с новым Положением к концу 2019 года. Если система не соответствует стандартам, а банк это несоответствие не устраняет, Центральный банк сможет воспользоваться мерами из ст. 74 закона «О ЦБ», среди которых весьма обширный набор – от штрафа до ввода временной администрации.

Проект Положения Банка России о внедрении нового стандартизованного подхода «Базель III» к оценке операционного риска для расчетов нормативов достаточности капитала был выпущен в сентябре 2018 года, после чего обсуждался совместно с банковским сообществом, обновлялся и сейчас готов к вступлению в силу.

Следует подчеркнуть, что в текущем году проект положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» действительно претерпел определенные изменения. Так, после обсуждения с банковским сообществом документ был доработан, в том числе в части дифференциации обязательных требований и сроков внедрения системы управления операционным риском в зависимости от размера активов кредитной организации и типа лицензии. Банк России предложил выделить три категории кредитных организаций: банки с базовой лицензией и НКО, банки с универсальной лицензией с активами до 500 млрд рублей, банки с универсальной лицензией с активами 500 млрд рублей и выше. Для каждой категории проектом устанавливаются индивидуальные требования.

Изменения, внесенные в документ, также касались установления порога регистрации потерь от событий операционного риска в соответствующей базе, уточнения определений видов операционного риска и видов потерь от него.

«Проект положения устанавливает, в частности, требования к управлению риском информационной безопасности (в том числе киберриском) и риском информационных систем; к ведению базы данных о событиях операционного риска; к внутренней отчетности кредитных организаций по операционному риску; к политике кредитной организации в сфере информационных технологий; к дополнительным требованиям к капиталу, необходимому на покрытие потерь от реализации операционного риска, включая риск информационной безопасности (в том числе киберриск)», – указывается на сайте Центрального банка.

За прошедший год банки постарались привести свои базы данных в соответствие с новыми подходами. Правда, сделать это всем и в полной мере, конечно, не удалось. Так, в ходе обсуждения Положения выяснилось, что полностью им отвечают базы данных только в 37% банков, а в 63% достигнуто лишь частичное соответствие. Представители половины этих банков заявили, что для устранения несоответствий им потребуется не более года, а 46% отметили, что на это им понадобится от одного года до трех лет.

Требования становятся жестче

Данное Положение ужесточает требования регулятора к оценке рисков. Ранее точные критерии по их управлению не были сформулированы, теперь же созданы четкие регламенты и процедуры, а также унифицированы подходы к риск-менеджменту по всему рынку. По мнению экспертов, ЦБ продолжит регламентировать и унифицировать подходы, так как это задает единые правила работы и стабилизирует банковскую систему в целом. Поэтому банкам важно выстроить эффективную систему управления операционным риском, которая удовлетворит требования регулятора и позволит быстрее адаптироваться к нововведениям в регулировании.

Таким образом, нагрузка возрастет и для «специализированных» подразделений банка, поскольку Положение содержит детально прописанные требования по рискам Информационной Безопасности (ИБ) и Информационных Систем (ИС), которые необходимо привести в соответствие.

«Что касается кибербезопасности – необходима доработка внутренних организационных документов по информационной безопасности в части выполнения требований настоящего положения, – считает начальник Управления технического контроля Департамента кибербезопасности Банка «Зенит» Игорь Кособуров, – Безусловно, необходимость выполнения требований настоящего положения скажется на деятельности подразделения. На работников возлагается дополнительная обязанность, в том числе по обмену информацией о событиях риска ИБ, подготовке отчетности, предоставлению дополнительных данных в Банк России».

Автоматизация и качественно новый уровень

Кибербезопасность должна стать управляемым бизнес-процессом, а для этого необходимо обеспечить автоматизацию такого базового процесса, как управление рисками.

Следует отметить, что на отечественном рынке уже появились решения для автоматизации процессов управления киберрисками, и одно из них – Security Vision Cyber Risk System (CRS) от компании «Интеллектуальная безопасность». Понимая основополагающую роль управления киберрисками, производитель целенаправленно выделил этот процесс в отдельный продукт.

Анализ данных при расчете становится математически насыщенным и использует в качестве входных данных множество реестров и справочников, оценки по косвенным признакам случавшихся инцидентов. Все это объединяется в единый инструмент.

«Конечно же, автоматизация управления киберрисками позволит перевести этот процесс на качественно новый уровень, – считает Игорь Кособуров. – В своей деятельности мы также начинаем использовать соответствующие решения».

Текст: Оксана Дяченко