Обзор проекта Положения «О требованиях к управлению операционным риском и порядку проведения операционного аудита организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев»
Автор статьи:
Чекудаев Кирилл Викторович
Эксперт по управлению рискамиВ конце января 2023 года на сайте Банка России был опубликован проект Положения «О требованиях к управлению операционным риском и порядку проведения операционного аудита организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев» (далее – Проект). В Проекте указано, что предлагаемое Положение вступает в силу с 1 апреля 2024 года.
Объектами Проекта являются организаторы торговли, клиринговые организации, центральные контрагенты, центральные депозитарии и репозитарии (далее – финансовые организации).
Данные финансовые организации являются инфраструктурными для финансовых и товарных рынков, или обобщенно – бирж. Требования для указанного перечня организаций в области управления операционными рисками обусловлено тем, что обеспечивающие предприятия рынка также подвержены данным рискам. Операционная надежность финансовых организаций позволит обеспечить инвестиционную привлекательность отечественного финансового и товарных рынков, которые являются индикатором и важным инструментом развития экономики страны.
Уточнение
Если для банковских финансовых организаций есть требования по управлению операционными рисками в соответствии с Положение Банка России от 08.04.2020 №716-П “О требованиях к системе управления операционным риском в кредитной организации и банковской группе”, то для финансовых организаций, отраженных в Проекте, таких регламентирующих документов еще нет. Следовательно, приведение всех участников финансовой системы страны позволит обеспечить единый уровень управления операционным риском, количество которых, увы продолжает увеличиваться. Управление операционными рисками в данном секторе экономики возможно только на системном уровне для всех участников. Отсутствие требований к каким-либо организациям системы не позволит обеспечить общий уровень управления.
Управление операционным риском: структура проекта Банка России
В Проекте 5 глав и 3 Приложения.
I глава
Финансовые организации, в рамках управления рисками, должны осуществлять управление операционным риском, к которым относятся:
- Нарушения лицензируемой деятельности финансовой организации (далее – лицензируемая деятельность);
- Деятельности ее контрагентов и (или) ее клиентов, в результате несовершенства или ошибочных внутренних процессов финансовой организации;
- Действий или бездействия персонала и иных лиц;
- Сбои и (или) ошибки в функционировании программно-технических и информационных систем;
- В результате внешнего воздействия.
В Проекте дается разграничение на:
Инцидент операционного риска – инцидент, потенциально угрожающий финансовой организации нарушением осуществления лицензируемой деятельности в результате реализации операционного риска;
Событие операционного риска – событие, оказывающий негативное воздействие на осуществление лицензируемой деятельности и (или) способное вследствие указанного воздействия оказать негативное влияние на осуществление деятельности финансовой организации, деятельности ее контрагентов и (или) ее клиентов, в связи с реализацией операционного риска.
Для инцидентов и событий операционного риска финансовым организациям предписывается непрерывное выявление и фиксация в Базах данных инцидентов и событий соответственно, которые могут быть как раздельными, так и единой. Структурные подразделения финансовых организаций ежегодно должны проводить самооценку операционного риска в процессах.
Финансовым организациям приписывается во внутренних документах определить критические важные процессы, а также структурные подразделения, ответственные за них. Перечень критически важных процессов должен актуализироваться чаще, чем раз в год. Не реже одного раза в два года необходимо проводить оценку функционирования критически важных процессов финансовой организации с привлечением независимых консультантов (экспертов) – операционный аудит.
В Проекте обозначено, что относится к программно-техническим средствам, к которым относятся и информационные системы, задействованные в критически важных процессах финансовой организации. Сбои и (или) ошибки в функционировании, которые способны повлечь за собой приостановление и (или) оказать иное неблагоприятное воздействие на критически важные процессы финансовой организации. В отношении к программно-техническим средствам определяются требования по проведению не реже чем раз в два года проводить операционный аудит по оценке основных процессов создания и эксплуатации.
II глава
Во второй главе Проекта отражены процедуры (меры) управления операционным риском. Финансовая организация должна назначать должностное лицо (отдельное структурное подразделение), ответственное за управление операционным риском. Во внутренних документах должен быть отражен порядок реализации процедур, которые подразделяются на два направления.
Финансовая организация в рамках управления операционным риском должна:
1. Обеспечить реализацию процедур:
- Определение перечня программно-технических средств;
- Осуществление идентификации угроз;
- Проведение испытательных работ (тестирования) программно-технических средств при их введении в эксплуатацию или обновлении;
- Осуществление мероприятий по замене или улучшению (обновлению) программно-технических средств;
- Осуществление контроля прав доступа работников к программно-техническим средствам;
- Определение перечня мер по защите информации и их реализация;
- Обучение работников по вопросам выявления, оценки и управления операционным риском;
- Проведение структурными подразделениями самооценки и оформление отчета по итогам проведения самооценки по установленной методике;
- Определение показателей операционного риска (сигнальные и контрольные значения), характеризующих эффективность управления операционным риском с регулярным их анализом;
- Определение и реализация мер по выявлению операционного риска, обусловленного взаимодействием финансовой организации с ее контрагентами и (или) клиентами, в том числе с иными организациями финансового рынка и (или) поставщиками услуг;
- Определение и реализация мер, направленных на снижение или устранение возможного негативного влияния операционного риска при осуществлении лицензируемой деятельности финансовой организации;
- Определение и реализация мер по выявлению операционного риска, обусловленного передачей отдельных функций, связанных с осуществлением лицензируемой деятельности – Определение и реализация мер по защите персонала финансовой организации от воздействия последствий событий операционного риска.
2. Разработать систему процедур (мер), направленных на обеспечение условий для бесперебойного функционирования программно-технических средств, а также для восстановления осуществляемой лицензируемой деятельности финансовой организации в случае реализации событий операционного риска:
- Определение перечня критически важных процессов, с указанием допустимого времени их восстановления в случае приостановления или прерывания;
- Обеспечение контроля за бесперебойным функционированием программно-технических средств;
- Распределение ответственности и полномочий между структурными подразделениями финансовой организации в случае реализации события операционного риска;
- Определение перечня потенциальных чрезвычайных ситуаций;
- Фиксация чрезвычайных ситуаций в Базе событий и проведение анализа обстоятельств возникновения чрезвычайных ситуаций;
- Разработка и утверждение документа (документов), определяющего (определяющих) меры, принимаемые в чрезвычайных ситуациях и направленные на обеспечение непрерывности осуществления лицензируемой деятельности финансовой организации (далее – План ОНД), его проверка (тестирование) и оценка;
- Организация функционирования резервного комплекса, функционально дублирующего основной комплекс программно-технических средств финансовой организации (далее – резервный комплекс);
- Осуществление ежедневного резервного копирования информации;
- Требования к наличию и техническому обслуживание основного и резервного комплекса программно-технических средств финансовой организации, обеспечивающих осуществление ее критически важных процессов;
III глава
Определен порядок ведения базы данных инцидентов и базы данных событий операционного риска с указанием их степени влияния (существенные, значимые и иные) и источниками:
- Недостатки процессов;
- Недостатки, связанные с действиями персонала;
- Отказы и (или) нарушения функционирования программно-технических средств, иных систем, оборудования и (или) несоответствие их функциональных возможностей и характеристик потребностям финансовой организации;
- Воздействие внешних причин.
IV глава
В этой главе определен порядок проведения операционного аудита и порядок определения привлекаемого независимого юридического лица для оказания консультационных услуг оценки предмета операционного аудита. Предметом проводимого аудита могут быть оценка основных процессов создания и эксплуатации программно-технических средств и оценка достаточности и эффективности применяемых мер (система контролей) в сфере функционирования критически важных процессов финансовой организации. В порядке определяется кем проводится аудит и требования к отчету по результатам операционного аудита.
V глава
В пятой Главе представлены заключительные приложения, а также указано распространение и применимость отдельных пунктов Проекта.
Приложения
- В Приложении 1 отражено допустимое время восстановления критически важных процессов финансовой организации в зависимости от вида осуществляемой деятельности.
- В Приложении 2 указаны требования к содержанию плана обеспечения непрерывности деятельности финансовой организации.
- В Приложении 3 представлены требования к содержанию базы данных инцидентов и базы данных событий операционного риска.
С точки зрения управления операционным риском данных Проект отражает особенности данного процесса в разрезе деятельности финансовых организаций, обеспечивающих торговлю на финансовых и товарных рынках, и видится адаптированной и даже немного упрощенной версией требований по управлению операционными рисками кредитным организациям.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram