Система управления операционными рисками по 716-П

Автор статьи:

Прошло достаточно много времени с того момента, как начало действовать Положение № 716-П Банка России, которое определяет единые требования к системе управления операционными рисками (далее — СУОР) для кредитных организаций (далее — КО) и банковской группы.

Требования 716-П, основанные на «Базель III», названные в честь Базельского комитета по банковскому надзору, с учетом адаптации под российскую финансовую систему, определили как общие задачи, так и конкретные мероприятия, которые должны проводиться в рамках менеджмента рисков организации.

С апреля 2020 года была проделана большая работа со стороны регулятора, были выпущены дополнительные положения, инструкции и разъяснения.

Кредитным организациям пришлось приложить усилия по обеспечению СУОР, выделению ресурсов и проведению организационных мер, начиная от классификации операционных рисков (далее — ОР), заканчивая внедрением риск-ориентированного подхода в деятельность всей организации и, как следствие, формированием отдельных подразделений по организации и управлению СУОР.

По большей степени требования Банка России были выполнены, что подтверждают как формы отчетности, так и проверки регулятора.

За время действия 716-П появилось также Положение 787-П, связанное с обеспечением операционной надежности для КО, а также Указание 6103-У, которое внесло важные корректировки и уточнения по оценке ОР и применению принципов непрерывности деятельности организации.

Стоит также отметить, что аналогичным Положением является 779-П для некредитных финансовых организаций (далее — НФО).

В нем можно заметить важное уточнение, заключающееся в том, что на НФО требования по управлению ОР не распространяются, следовательно, на данный момент времени они должны осуществлять только операционную надежность выполняемых операций.

Что такое операционный риск?

Руководствуясь Указанием Банка России N 3624-У есть формальное определение операционного риска —  риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов КО, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.

Иногда его интерпретируют как риск поведения или управления процессами.

Причем ОР отличаются заметно от рыночных и кредитных рисков банка, управление которыми достаточно отлажено и регламентировано в рамках управления финансовыми рисками.

Виды операционных рисков

  • Риск информационной безопасности (ИБ)
  • Риск информационных систем (ИС)
  • Правовой риск
  • Проектный риск
  • Риск процессов
  • Риск внутреннего контроля
  • Модельный риск
  • Риск поведения
  • Риск управления персоналом
  • Риск платежной системы
  • Риск нарушения непрерывности деятельности

В проекте изменений в 716-П уже некоторое время определены еще риск аутсорсинга, но эти изменения пока не введены.

Примеры операционных рисков

  1. Киберриск, который проявился через хакерскую атаку и привел к утечке персональных данных клиентов и сотрудников. Как следствие, был наложен штраф регулятором (Роскомнадзором). При этом организация понесла как прямые потери, так и риск потери репутации клиентов.
  2. Сотрудник банка ошибся при введении данных для проведения сделки на финансовом рынке, вследствие чего организация понесла убытки, так как финансовый актив был продан/куплен по нерыночной цене. Смоделированная рисковая ситуация является операционным риском. В случае если банк понес убытки в результате изменения рыночной ситуации, то это можно расценить как рыночный риск. При этом, если бы рыночный риск проявился, когда некорректно был произведен расчет применяемой моделью оценки активов и рисков в результате нарушения настроенных алгоритмов или низкой валидации, то это операционный, а именно модельный риск.

Организация системы управления операционным риском

СУОР представляет собой достаточно структурированную систему риск-менеджмента, в которой должны быть задействованы все подразделения и бизнес-процессы, а не только руководство и ответственные подразделения за управление рисками.

Процедуры управления операционным риском

Процедуры управления операционным риском

Организация СУОР происходит как по направлениям деятельности, бизнес-процессам, а также по уровням защиты.

Определены 3 линии защиты:

  1. Бизнес-подразделения и центры компетенций
  2. Специализированные подразделения
  3. Служба внутреннего аудита

Помимо этих трех линий управление операционным риском осуществляется наблюдательным советом и коллегиальным исполнительным органом в части утверждения контрольных показателей управления операционными рисками (КПУОР) и отчетов как в рамках сводных отчетов по управлению рисками, так и только в части ОР, включая отчеты об оценке эффективности СУОР.

Не стоит забывать, что управление операционным риском — зона ответственности для всех сотрудников и подразделений в рамках своей деятельности, так как операционный риск присущ всем бизнес-процессам.

Из всего набора ОР особо стоит выделить 2 направления, которые требуют особого внимания в связи с развитием информационных технологий в финансовой сфере, а также угроз, которые на них влияют: риски информационных систем и информационной безопасности.

Управление рисками ИБ осуществляется через реализацию следующих требований:

  • Выполнение Политики ИБ всеми сотрудниками организации и в части руководства
  • Определение зон ответственности за риском ИБ
  • Ведение базы событий рисков ИБ отдельно или в рамках общей базы событий ОР
  • Идентификация и оценка рисков ИБ
  • Ресурсное обеспечения, в том числе кадровое
  • Соответствие КПУОР, которые выделены отдельно по рискам ИБ
  • Реализация всех мероприятий по Положению 683-П и соответствие программам контроля защиты информации
  • Непосредственная защита информации, утверждение порядка реагирования и обработки инцидентов
  • Применение программных средств защиты, проведение пентеста и анализа уязвимости
  • Контроль, мониторинг и совершенствование процессов защиты информации
  • Составление соответствующих отчетов по управлению рисками ИБ

Управление рисками ИС направлено на реализацию следующих требований:

  • Выполнение Политики ИС всеми сотрудниками организации и в части руководства
  • Определение ответственных подразделений и лиц
  • Выполнение требований к структуре ИС и поставщикам услуг
  • Обеспечение непрерывности и качества функционирования ИС и выполнение мероприятий по их совершенствованию
  • Обеспечение качества данных в ИС и проведение их оценки (ссылка на услугу по качеству данных)
  • Соблюдение порядка информационного взаимодействия и отчетности по рискам ИС
  • Утверждение структуры информационного обмена между сотрудниками Банка и с третьими лицами
  • Выполнение требований по обеспечению непрерывности и качества функционирования ИС, в том числе в жизненном цикле
  • Проведение ежегодного тестирования уязвимостей ИС и оценки эффективности настоящих требований

Система управления операционным риском

В заключении стоит отметить, что СУОР требует регулярного контроля и совершенствования.

В настоящее время операционный риск с уверенностью можно назвать одним из самых востребованных рисков в области финансового сектора.

Для того, чтобы в организации прямые и косвенные потери не превышали установленные пороги, стоит уделить должное внимание всем установленным Банком России требованиям.

Эксперты RTM Group помогут вам выстроить наиболее эффективную СУОР, учитывая индивидуальные особенности организации и степень реализации требований, тем самым защитив вас от замечаний со стороны регулятора и потери финансовых результатов.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги

    Наши кейсы по теме

    Маркетплейс. Онлайн-обучение. Риски и их нивелирование

    Заказчик обратился с просьбой подготовить юридическую обвязку принадлежащего ему сайта с функционалом онлайн-обучения. Нужно определить возможные риски для владельца платформы и минимизировать их.