Система управления операционными рисками по 716-П

Прошло достаточно много времени с того момента, как начало действовать Положение № 716-П Банка России, которое определяет единые требования к системе управления операционными рисками (далее – СУОР) для кредитных организаций (далее – КО) и банковской группы.

Требования 716-П, основанные на «Базель III», названные в честь Базельского комитета по банковскому надзору, с учетом адаптации под российскую финансовую систему, определили как общие задачи, так и конкретные мероприятия, которые должны проводиться в рамках менеджмента рисков организации.

С апреля 2020 года была проделана большая работа со стороны регулятора, были выпущены дополнительные положения, инструкции и разъяснения.

Кредитным организациям пришлось приложить усилия по обеспечению СУОР, выделению ресурсов и проведению организационных мер, начиная от классификации операционных рисков (далее – ОР), заканчивая внедрением риск-ориентированного подхода в деятельность всей организации и, как следствие, формированием отдельных подразделений по организации и управлению СУОР.

По большей степени требования Банка России были выполнены, что подтверждают как формы отчетности, так и проверки регулятора.

За время действия 716-П появилось также Положение 787-П, связанное с обеспечением операционной надежности для КО, а также Указание 6103-У, которое внесло важные корректировки и уточнения по оценке ОР и применению принципов непрерывности деятельности организации.

Стоит также отметить, что аналогичным Положением является 779-П для некредитных финансовых организаций (далее – НФО).

В нем можно заметить важное уточнение, заключающееся в том, что на НФО требования по управлению ОР не распространяются, следовательно, на данный момент времени они должны осуществлять только операционную надежность выполняемых операций.

Что такое операционный риск?

Руководствуясь Указанием Банка России N 3624-У есть формальное определение операционного риска —  риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов КО, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.

Иногда его интерпретируют как риск поведения или управления процессами.

Причем ОР отличаются заметно от рыночных и кредитных рисков банка, управление которыми достаточно отлажено и регламентировано в рамках управления финансовыми рисками.

Виды операционных рисков

• Риск информационной безопасности (ИБ)
• Риск информационных систем (ИС)
• Правовой риск
• Проектный риск
• Риск процессов
• Риск внутреннего контроля
• Модельный риск
• Риск поведения
• Риск управления персоналом
• Риск платежной системы
• Риск нарушения непрерывности деятельности

В проекте изменений в 716-П уже некоторое время определены еще риск аутсорсинга, но эти изменения пока не введены.

Примеры операционных рисков

1. Киберриск, который проявился через хакерскую атаку и привел к утечке персональных данных клиентов и сотрудников. Как следствие, был наложен штраф регулятором (Роскомнадзором). При этом организация понесла как прямые потери, так и риск потери репутации клиентов.
2. Сотрудник банка ошибся при введении данных для проведения сделки на финансовом рынке, вследствие чего организация понесла убытки, так как финансовый актив был продан/куплен по нерыночной цене. Смоделированная рисковая ситуация является операционным риском. В случае если банк понес убытки в результате изменения рыночной ситуации, то это можно расценить как рыночный риск. При этом, если бы рыночный риск проявился, когда некорректно был произведен расчет применяемой моделью оценки активов и рисков в результате нарушения настроенных алгоритмов или низкой валидации, то это операционный, а именно модельный риск.

Организация системы управления операционным риском

СУОР представляет собой достаточно структурированную систему риск-менеджмента, в которой должны быть задействованы все подразделения и бизнес-процессы, а не только руководство и ответственные подразделения за управление рисками.

Процедуры управления операционным риском

Организация СУОР происходит как по направлениям деятельности, бизнес-процессам, а также по уровням защиты.

Определены 3 линии защиты:

1. Бизнес-подразделения и центры компетенций
2. Специализированные подразделения
3. Служба внутреннего аудита

Помимо этих трех линий управление операционным риском осуществляется наблюдательным советом и коллегиальным исполнительным органом в части утверждения контрольных показателей управления операционными рисками (КПУОР) и отчетов как в рамках сводных отчетов по управлению рисками, так и только в части ОР, включая отчеты об оценке эффективности СУОР.

Не стоит забывать, что управление операционным риском — зона ответственности для всех сотрудников и подразделений в рамках своей деятельности, так как операционный риск присущ всем бизнес-процессам.

Из всего набора ОР особо стоит выделить 2 направления, которые требуют особого внимания в связи с развитием информационных технологий в финансовой сфере, а также угроз, которые на них влияют: риски информационных систем и информационной безопасности.

Управление рисками ИБ осуществляется через реализацию следующих требований:

• Выполнение Политики ИБ всеми сотрудниками организации и в части руководства
• Определение зон ответственности за риском ИБ
• Ведение базы событий рисков ИБ отдельно или в рамках общей базы событий ОР
• Идентификация и оценка рисков ИБ
• Ресурсное обеспечения, в том числе кадровое
• Соответствие КПУОР, которые выделены отдельно по рискам ИБ
• Реализация всех мероприятий по Положению 683-П и соответствие программам контроля защиты информации
• Непосредственная защита информации, утверждение порядка реагирования и обработки инцидентов
• Применение программных средств защиты, проведение пентеста и анализа уязвимости
• Контроль, мониторинг и совершенствование процессов защиты информации
• Составление соответствующих отчетов по управлению рисками ИБ

Управление рисками ИС направлено на реализацию следующих требований:

• Выполнение Политики ИС всеми сотрудниками организации и в части руководства
• Определение ответственных подразделений и лиц
• Выполнение требований к структуре ИС и поставщикам услуг
• Обеспечение непрерывности и качества функционирования ИС и выполнение мероприятий по их совершенствованию
• Обеспечение качества данных в ИС и проведение их оценки (ссылка на услугу по качеству данных)
• Соблюдение порядка информационного взаимодействия и отчетности по рискам ИС
• Утверждение структуры информационного обмена между сотрудниками Банка и с третьими лицами
• Выполнение требований по обеспечению непрерывности и качества функционирования ИС, в том числе в жизненном цикле
• Проведение ежегодного тестирования уязвимостей ИС и оценки эффективности настоящих требований

Система управления операционным риском

В заключении стоит отметить, что СУОР требует регулярного контроля и совершенствования.

В настоящее время операционный риск с уверенностью можно назвать одним из самых востребованных рисков в области финансового сектора.

Для того, чтобы в организации прямые и косвенные потери не превышали установленные пороги, стоит уделить должное внимание всем установленным Банком России требованиям.

Эксперты RTM Group помогут вам выстроить наиболее эффективную СУОР, учитывая индивидуальные особенности организации и степень реализации требований, тем самым защитив вас от замечаний со стороны регулятора и потери финансовых результатов.