Система управления операционными рисками по 716-П
Автор статьи:
Чекудаев Кирилл Викторович
Эксперт по управлению рискамиПрошло достаточно много времени с того момента, как начало действовать Положение № 716-П Банка России, которое определяет единые требования к системе управления операционными рисками (далее — СУОР) для кредитных организаций (далее — КО) и банковской группы.
Требования 716-П, основанные на «Базель III», названные в честь Базельского комитета по банковскому надзору, с учетом адаптации под российскую финансовую систему, определили как общие задачи, так и конкретные мероприятия, которые должны проводиться в рамках менеджмента рисков организации.
С апреля 2020 года была проделана большая работа со стороны регулятора, были выпущены дополнительные положения, инструкции и разъяснения.
Кредитным организациям пришлось приложить усилия по обеспечению СУОР, выделению ресурсов и проведению организационных мер, начиная от классификации операционных рисков (далее — ОР), заканчивая внедрением риск-ориентированного подхода в деятельность всей организации и, как следствие, формированием отдельных подразделений по организации и управлению СУОР.
По большей степени требования Банка России были выполнены, что подтверждают как формы отчетности, так и проверки регулятора.
За время действия 716-П появилось также Положение 787-П, связанное с обеспечением операционной надежности для КО, а также Указание 6103-У, которое внесло важные корректировки и уточнения по оценке ОР и применению принципов непрерывности деятельности организации.
Стоит также отметить, что аналогичным Положением является 779-П для некредитных финансовых организаций (далее — НФО).
В нем можно заметить важное уточнение, заключающееся в том, что на НФО требования по управлению ОР не распространяются, следовательно, на данный момент времени они должны осуществлять только операционную надежность выполняемых операций.
Что такое операционный риск?
Руководствуясь Указанием Банка России N 3624-У есть формальное определение операционного риска — риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов КО, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.
Иногда его интерпретируют как риск поведения или управления процессами.
Причем ОР отличаются заметно от рыночных и кредитных рисков банка, управление которыми достаточно отлажено и регламентировано в рамках управления финансовыми рисками.
Виды операционных рисков
- Риск информационной безопасности (ИБ)
- Риск информационных систем (ИС)
- Правовой риск
- Проектный риск
- Риск процессов
- Риск внутреннего контроля
- Модельный риск
- Риск поведения
- Риск управления персоналом
- Риск платежной системы
- Риск нарушения непрерывности деятельности
В проекте изменений в 716-П уже некоторое время определены еще риск аутсорсинга, но эти изменения пока не введены.
Примеры операционных рисков
- Киберриск, который проявился через хакерскую атаку и привел к утечке персональных данных клиентов и сотрудников. Как следствие, был наложен штраф регулятором (Роскомнадзором). При этом организация понесла как прямые потери, так и риск потери репутации клиентов.
- Сотрудник банка ошибся при введении данных для проведения сделки на финансовом рынке, вследствие чего организация понесла убытки, так как финансовый актив был продан/куплен по нерыночной цене. Смоделированная рисковая ситуация является операционным риском. В случае если банк понес убытки в результате изменения рыночной ситуации, то это можно расценить как рыночный риск. При этом, если бы рыночный риск проявился, когда некорректно был произведен расчет применяемой моделью оценки активов и рисков в результате нарушения настроенных алгоритмов или низкой валидации, то это операционный, а именно модельный риск.
Организация системы управления операционным риском
СУОР представляет собой достаточно структурированную систему риск-менеджмента, в которой должны быть задействованы все подразделения и бизнес-процессы, а не только руководство и ответственные подразделения за управление рисками.
Процедуры управления операционным риском
Организация СУОР происходит как по направлениям деятельности, бизнес-процессам, а также по уровням защиты.
Определены 3 линии защиты:
- Бизнес-подразделения и центры компетенций
- Специализированные подразделения
- Служба внутреннего аудита
Помимо этих трех линий управление операционным риском осуществляется наблюдательным советом и коллегиальным исполнительным органом в части утверждения контрольных показателей управления операционными рисками (КПУОР) и отчетов как в рамках сводных отчетов по управлению рисками, так и только в части ОР, включая отчеты об оценке эффективности СУОР.
Не стоит забывать, что управление операционным риском — зона ответственности для всех сотрудников и подразделений в рамках своей деятельности, так как операционный риск присущ всем бизнес-процессам.
Из всего набора ОР особо стоит выделить 2 направления, которые требуют особого внимания в связи с развитием информационных технологий в финансовой сфере, а также угроз, которые на них влияют: риски информационных систем и информационной безопасности.
Управление рисками ИБ осуществляется через реализацию следующих требований:
- Выполнение Политики ИБ всеми сотрудниками организации и в части руководства
- Определение зон ответственности за риском ИБ
- Ведение базы событий рисков ИБ отдельно или в рамках общей базы событий ОР
- Идентификация и оценка рисков ИБ
- Ресурсное обеспечения, в том числе кадровое
- Соответствие КПУОР, которые выделены отдельно по рискам ИБ
- Реализация всех мероприятий по Положению 683-П и соответствие программам контроля защиты информации
- Непосредственная защита информации, утверждение порядка реагирования и обработки инцидентов
- Применение программных средств защиты, проведение пентеста и анализа уязвимости
- Контроль, мониторинг и совершенствование процессов защиты информации
- Составление соответствующих отчетов по управлению рисками ИБ
Управление рисками ИС направлено на реализацию следующих требований:
- Выполнение Политики ИС всеми сотрудниками организации и в части руководства
- Определение ответственных подразделений и лиц
- Выполнение требований к структуре ИС и поставщикам услуг
- Обеспечение непрерывности и качества функционирования ИС и выполнение мероприятий по их совершенствованию
- Обеспечение качества данных в ИС и проведение их оценки (ссылка на услугу по качеству данных)
- Соблюдение порядка информационного взаимодействия и отчетности по рискам ИС
- Утверждение структуры информационного обмена между сотрудниками Банка и с третьими лицами
- Выполнение требований по обеспечению непрерывности и качества функционирования ИС, в том числе в жизненном цикле
- Проведение ежегодного тестирования уязвимостей ИС и оценки эффективности настоящих требований
Система управления операционным риском
В заключении стоит отметить, что СУОР требует регулярного контроля и совершенствования.
В настоящее время операционный риск с уверенностью можно назвать одним из самых востребованных рисков в области финансового сектора.
Для того, чтобы в организации прямые и косвенные потери не превышали установленные пороги, стоит уделить должное внимание всем установленным Банком России требованиям.
Эксперты RTM Group помогут вам выстроить наиболее эффективную СУОР, учитывая индивидуальные особенности организации и степень реализации требований, тем самым защитив вас от замечаний со стороны регулятора и потери финансовых результатов.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
Задать вопрос эксперту
Связанные услуги
Наши кейсы по теме
Маркетплейс. Онлайн-обучение. Риски и их нивелирование
Заказчик обратился с просьбой подготовить юридическую обвязку принадлежащего ему сайта с функционалом онлайн-обучения. Нужно определить возможные риски для владельца платформы и минимизировать их.