Аналитика и комментарии

07 октября 2020
 

Руслан Рахметов, ГК «Интеллектуальная безопасность» (бренд Security Vision): О новых требованиях банка России к системе управления операционными рисками (Положение №716-П)

Положение Банка России 716-П вступает в силу 01 октября 2020 года и предписывает кредитным организациям реализовать содержащиеся в нем требования до 01 января 2022 года. Данный документ достаточно объёмный, подробное описание всех элементов и процедур системы управления операционными рисками (СУОР) занимает 132 страницы, поэтому его можно воспринимать, в сущности, как техническое задание. Учитывая большой объём требований и необходимость применения средств автоматизации, приступать к проработке вопросов приведения СУОР в соответствие с документом Банка России следует уже сейчас, считает Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision). NBJ публикует его авторский материал по этой актуальной теме.

Положение № 716-П было разработано Банком России на основе методологии Базеля III, что в свою очередь должно привести к повышению качества управления рисками и, как следствие, укреплению финансовой системы страны. Кроме того, благодаря глубокой детализации требований, Банком России достигаются цели приведения всех кредитных организаций к унификации процедур, классификаторов и показателей в области управления операционными рисками.

Безусловно, как и многие другие документы регуляторов, Положение № 716-П предусматривает дифференцированный подход к реализации тех или иных требований Положения, в зависимости от лицензии и размера активов кредитной организации. Ниже обозначим некоторые общие особенности и новации в части создания комплексной СУОР кредитной организации согласно Положению № 716-П.

Первое, на что следует обратить внимание в Положении № 716-П, – это виды операционных рисков, куда входят:

- риск информационной безопасности;

- риск информационных систем;

- правовой риск;

- риск ошибок в управлении проектами;

- риск ошибок в управленческих процессах;

- риск ошибок в процессах осуществления внутреннего контроля;

- модельный риск;

- риск потерь средств клиентов, контрагентов, работников и третьих лиц;

- риск ошибок процесса управления персоналом;

- операционный риск платежной системы.

Таким образом, теперь риски информационной безопасности и риски информационных систем входят в состав управления операционными рисками, и, что важно, они напрямую влияют на размеры достаточности капитала. Безусловно, этот шаг, продиктованный современными реалиями, повышает значимость обеспечения информационной безопасности в кредитно-финансовой сфере. То есть, чем ниже будет уровень обеспечения информационной безопасности организации, тем чаще в ней будут происходить рисковые события, приносящие финансовые потери и влияющие на коэффициенты, связанные с расчетом резервного капитала, выделяемого на покрытие рисков.

Документ предусматривает два варианта ведения учета событий рисков ИБ и ИТ. Первый вариант – когда в кредитной организации ведется общая единая база событий операционных рисков всех видов. Второй вариант – когда учет рисковых событий ИБ и ИТ происходит в отдельных базах подразделений, но здесь подразделениям ИБ и ИТ в любом случае необходимо соблюдать общие требования к классификации и ведению базы событий. Должно быть обеспечено взаимодействие между ИТ и ИБ департаментами с одной стороны и службой управления рисками с другой, и отчеты ИБ и ИТ департаментов по рисковым событиям должны оперативно передаваться в службу управления рисками.

В качестве основных элементов СУОР документ описывает процедуры, классификаторы, базу событий, контрольные показатели, подразделения, автоматизированную информационную систему и прочие дополнительные элементы (перечень процессов кредитной организации, политики, внутренние документы, мероприятия, отчеты). К процедурам Положение относит:

- идентификацию ОР различными способами;

- сбор и регистрацию событий ОР различными способами;

- определение потерь и возмещений при регистрации событий ОР;

- проведение количественной оценки уровня ОР;

- проведение качественной оценки уровня ОР;

- выбор и применение способов реагирования на ОР;

- мониторинг ОР, в том числе ключевых индикаторов риска (КИР).

Все семь процедур описаны в документе достаточно подробно. Для идентификации ОР перечислен ряд источников, некоторые из которых могут предоставлять очень ценную информацию. В процедуре сбора и регистрации событий ОР предусмотрены три способа: автоматизированный, неавтоматизированный (экспертное мнение), ввод информации по алгоритмизированным правилам. Далее происходит отсылка к процедурам определения потерь, возмещений и последующего проведения количественной оценки уровня ОР.

В процедуре качественной оценки также предусмотрен сценарный анализ. В сущности, это некая процедура, основной принцип действия которой заключается в моделировании возможных ситуаций и последующей оценке рисков на основе выводов, сделанных по результатам. Точную методологию документ не предоставляет и предписывает разработку методов кредитной организацией самостоятельно, с фиксацией во внутренних документах. При этом требуется проводить сценарный анализ в отношении выявленных ОР, а также источников ОР, которые не реализовались в кредитной организации, но у которых есть вероятность реализации с высоким уровнем потерь.

В части процедуры реагирования на ОР предусмотрены следующие способы: уклонение от риска, передача риска, принятие риска, а также принятие мер, рекомендуемый перечень которых представлен в приложении 3 Положения № 716-П.

Результирующей процедурой является мониторинг операционных рисков. Здесь кредитной организацией устанавливаются ключевые индикаторы риска (КИР) и контролируется их уровень, проводится анализ статистики событий ОР, контролируется выполнение мероприятий и мер. Кроме того, в рамках данной процедуры предусмотрено проведение общей оценки эффективности управления операционным риском, а также формирование ежеквартальных и годовых отчетов.

Учитывая, что СУОР в редакции 716-П предполагает участие большей части функциональных подразделений кредитной организации и унифицированный подход, здесь целесообразно применять одну единую комплексную автоматизированную систему, в которой будут выстроены все процессы управления операционными рисками.

Программная платформа Security Vision успешно применяется в крупнейших банках, в том числе и для регистрации и обработки операционных рисков. Мы проводим работы по дополнению модуля в соответствии с новым Положением Банка России в информационных структурах наших заказчиков. Благодаря гибкости Security Vision задача носит штатный характер, и адаптация у заказчиков будет завершена к концу года.   

Поделиться: