Аналитика и комментарии
Руслан Рахметов, ГК «Интеллектуальная безопасность» (бренд Security Vision): О новых требованиях банка России к системе управления операционными рисками (Положение №716-П)
Положение Банка России № 716-П вступает в силу 01 октября 2020 года и предписывает кредитным организациям реализовать содержащиеся в нем требования до 01 января 2022 года. Данный документ достаточно объёмный, подробное описание всех элементов и процедур системы управления операционными рисками (СУОР) занимает 132 страницы, поэтому его можно воспринимать, в сущности, как техническое задание. Учитывая большой объём требований и необходимость применения средств автоматизации, приступать к проработке вопросов приведения СУОР в соответствие с документом Банка России следует уже сейчас, считает Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision). NBJ публикует его авторский материал по этой актуальной теме.
Положение № 716-П было разработано Банком России на основе методологии Базеля III, что в свою очередь должно привести к повышению качества управления рисками и, как следствие, укреплению финансовой системы страны. Кроме того, благодаря глубокой детализации требований, Банком России достигаются цели приведения всех кредитных организаций к унификации процедур, классификаторов и показателей в области управления операционными рисками.
Безусловно, как и многие другие документы регуляторов, Положение № 716-П предусматривает дифференцированный подход к реализации тех или иных требований Положения, в зависимости от лицензии и размера активов кредитной организации. Ниже обозначим некоторые общие особенности и новации в части создания комплексной СУОР кредитной организации согласно Положению № 716-П.
Первое, на что следует обратить внимание в Положении № 716-П, – это виды операционных рисков, куда входят:
- риск информационной безопасности;
- риск информационных систем;
- правовой риск;
- риск ошибок в управлении проектами;
- риск ошибок в управленческих процессах;
- риск ошибок в процессах осуществления внутреннего контроля;
- модельный риск;
- риск потерь средств клиентов, контрагентов, работников и третьих лиц;
- риск ошибок процесса управления персоналом;
- операционный риск платежной системы.
Таким образом, теперь риски информационной безопасности и риски информационных систем входят в состав управления операционными рисками, и, что важно, они напрямую влияют на размеры достаточности капитала. Безусловно, этот шаг, продиктованный современными реалиями, повышает значимость обеспечения информационной безопасности в кредитно-финансовой сфере. То есть, чем ниже будет уровень обеспечения информационной безопасности организации, тем чаще в ней будут происходить рисковые события, приносящие финансовые потери и влияющие на коэффициенты, связанные с расчетом резервного капитала, выделяемого на покрытие рисков.
Документ предусматривает два варианта ведения учета событий рисков ИБ и ИТ. Первый вариант – когда в кредитной организации ведется общая единая база событий операционных рисков всех видов. Второй вариант – когда учет рисковых событий ИБ и ИТ происходит в отдельных базах подразделений, но здесь подразделениям ИБ и ИТ в любом случае необходимо соблюдать общие требования к классификации и ведению базы событий. Должно быть обеспечено взаимодействие между ИТ и ИБ департаментами с одной стороны и службой управления рисками с другой, и отчеты ИБ и ИТ департаментов по рисковым событиям должны оперативно передаваться в службу управления рисками.
В качестве основных элементов СУОР документ описывает процедуры, классификаторы, базу событий, контрольные показатели, подразделения, автоматизированную информационную систему и прочие дополнительные элементы (перечень процессов кредитной организации, политики, внутренние документы, мероприятия, отчеты). К процедурам Положение относит:
- идентификацию ОР различными способами;
- сбор и регистрацию событий ОР различными способами;
- определение потерь и возмещений при регистрации событий ОР;
- проведение количественной оценки уровня ОР;
- проведение качественной оценки уровня ОР;
- выбор и применение способов реагирования на ОР;
- мониторинг ОР, в том числе ключевых индикаторов риска (КИР).
Все семь процедур описаны в документе достаточно подробно. Для идентификации ОР перечислен ряд источников, некоторые из которых могут предоставлять очень ценную информацию. В процедуре сбора и регистрации событий ОР предусмотрены три способа: автоматизированный, неавтоматизированный (экспертное мнение), ввод информации по алгоритмизированным правилам. Далее происходит отсылка к процедурам определения потерь, возмещений и последующего проведения количественной оценки уровня ОР.
В процедуре качественной оценки также предусмотрен сценарный анализ. В сущности, это некая процедура, основной принцип действия которой заключается в моделировании возможных ситуаций и последующей оценке рисков на основе выводов, сделанных по результатам. Точную методологию документ не предоставляет и предписывает разработку методов кредитной организацией самостоятельно, с фиксацией во внутренних документах. При этом требуется проводить сценарный анализ в отношении выявленных ОР, а также источников ОР, которые не реализовались в кредитной организации, но у которых есть вероятность реализации с высоким уровнем потерь.
В части процедуры реагирования на ОР предусмотрены следующие способы: уклонение от риска, передача риска, принятие риска, а также принятие мер, рекомендуемый перечень которых представлен в приложении 3 Положения № 716-П.
Результирующей процедурой является мониторинг операционных рисков. Здесь кредитной организацией устанавливаются ключевые индикаторы риска (КИР) и контролируется их уровень, проводится анализ статистики событий ОР, контролируется выполнение мероприятий и мер. Кроме того, в рамках данной процедуры предусмотрено проведение общей оценки эффективности управления операционным риском, а также формирование ежеквартальных и годовых отчетов.
Учитывая, что СУОР в редакции 716-П предполагает участие большей части функциональных подразделений кредитной организации и унифицированный подход, здесь целесообразно применять одну единую комплексную автоматизированную систему, в которой будут выстроены все процессы управления операционными рисками.
Программная платформа Security Vision успешно применяется в крупнейших банках, в том числе и для регистрации и обработки операционных рисков. Мы проводим работы по дополнению модуля в соответствии с новым Положением Банка России в информационных структурах наших заказчиков. Благодаря гибкости Security Vision задача носит штатный характер, и адаптация у заказчиков будет завершена к концу года.