8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Управление рисками кредитных организаций в соответствии с 716-П

Положение Банка России №716-П от «08» апреля 2020 года «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» зарегистрировано в Минюсте «03» июня 2020 года.

Данное положение вступает в силу уже с «01» октября 2020 года (п. 10.1), выполнению подлежит не позднее «01» января 2022 года (п. 10.2). Это означает, что к «01» января 2022 года, все мероприятия уже должны быть выполнены и реализованы.

716-П распространяется на кредитные организации и головные кредитные организации банковской группы кроме центрального контрагента и центрального депозитария (п.1).

Управление рисками кредитных организаций в соответствии с 716-П

Эксперты по управлению рисками в соответствии с 716-П

Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Описание

При работе с риском в рамках 716-П следует учесть два относительно новых термина: «база событий» (в терминах п.4.3 3624-У – база убытков) и «операционный риск» (п. 4.1 3624-У ).

Операционный риск – риск возникновения убытков в результате ненадежности и недостатков внутренних процедур управления кредитной организации, отказа информационных и иных систем, либо вследствие влияния на деятельность кредитной организации внешних событий .

База событий (убытков) — аналитическая база данных об убытках, понесенных вследствие реализации операционного риска, содержащая информацию о видах убытков, их размере, датах возникновения, а также обо всех существенных событиях, приводящих к данным убыткам, включая обстоятельства их возникновения (выявления).

Требования по выделению капитала на покрытие рисков

Важно отметить, что для покрытия возможных убытков от реализации опер. рисков, банковской кредитной организации необходимо выделять отдельный капитал. Данный капитал может быть, в соответствии с приложением 1, рассчитан на нормативной основе (инструкция 199-И, положения 652-П и 646-П), либо на основании оценки величин рисковых потерь.

Как следствие, рассчитанная величина потенциальных потерь может позволит сократить объем капитала, который кредитная организация направляет на покрытие потерь от реализации операционного риска.

Принимая во внимание данный факт – профессиональное управление рисками дает банку существенную экономию.

Структура положения по управлению операционным риском

В общей части положения (глава 1), помимо терминов, приведена краткая структура документа. Ее составные элементы (п.1.3) включают в себя:

  • Процедуры управления операционным риском (глава 2);
  • Классификатор событий операционного риска (глава 3);
  • База событий;
  • Контрольные показатели уровня операционного риска;
  • Подразделение, ответственное за организацию управления операционным риском;
  • Специализированное подразделение, выполняющее процедуры по управлению риском;
  • Подразделения, ответственные за осуществление операций и сделок и за результаты (бизнес) процесса;
  • Подразделение, уполномоченное проводить ежегодную оценку эффективности функционирования системы управления операционным риском;
  • Автоматизированные системы управления операционным риском.

Следует обратить внимание, что от кредитной организации требуется выделить подразделение, ответственное за работу с операционным риском.

Помимо этого, в общей части перечислены основные виды рисков (п.1.4):

  • Риск информационной безопасности (взлом, утечка и т.п.);
  • Риск информационных систем (отказ);
  • Правовой риск (п.3.3 3624-У);
  • Риск ошибок в управлении проектами;
  • Риск ошибок в управленческих процессах;
  • Риск ошибок в процессах осуществления внутреннего контроля;
  • Модельный риск (п.4.2 Приложения 1 к 3624-У);
  • Риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг;
  • Риск ошибок процесса управления персоналом;
  • Операционный риск платежной системы (абз. 3 пункта 1 приложения 2 607-П).

Процедуры управления операционным риском

Начиная со второй главы, приводятся требования, которым кредитная организация должна удовлетворять к «01» января 2022 года. Следует отметить, что не все требования обязательны для всех типов кредитных организаций. Обобщенно свод требований приведен ниже.

Первое требование – наличие набора процедур. Их общий перечень представлен во второй главе положения.

Для выполнения требования по отдельным процедурам, кредитной организации потребуется разработать пакет документов и выделить ресурс (по большей части человеческий) для реализации данных процедур.

Положение регламентирует следующие процедуры управления оперрисками:

  • Идентификация рисков (п.2.1.1);
  • Сбор и регистрация событий и потерь (п.2.1.2);
  • Определение и возмещение потерь (п.2.1.3);
  • Количественная оценка уровня оперрисков (п.2.1.4);
  • Качественная оценка уровня оперрисков (п.2.1.5);
  • Самооценка рисков не реже одного раза в год по собственной методике (п.2.1.5);
  • Выбор и применение способа реагирования на ОР (п.2.1.6);
  • Мониторинг оперрисков (п.2.1.7).

Виды операционных рисков

Третья глава положения требует строгой классификации всех рисков. Выполнение данных пунктов обязательно для всех без исключения типов кредитных организаций.

Классификацию необходимо вести по следующим направлениям:

  • По источникам (п.3.3);
  • По типам событий (п.3.6, приложение 4);
  • По направлениям деятельности (п.3.9);
  • По видам потерь (п.3.11-3.13).

Дополнительные элементы системы управления рисками

Дополнительные элементы системы управления рисками

В положении отдельно обозначены следующие дополнительные элементы системы управления операционными рисками:

  • (Бизнес) процессы организации (п. 4.1.1);
  • ОРД (п. 4.1.1-4.1.4);
  • Мероприятия по совершенствованию системы управления операционным риском (п. 4.1.5);
  • Мотивация работников по обработке операционных рисков (п. 4.1.6);
  • События и отчеты по операционным рискам (п. 4.1.7-4.2.5);
  • Подробный перечень показателей по событиям операционных рисков (п.4.2.4);
  • Требования к информационным системам управления операционным риском (п. 4.3.1);
  • Требования к управлению модельным риском (п. 4.3.2);
  • Оценка эффективности системы управления операционным риском (п. 4.4);
  • Плановые (целевые) показатели уровня операционного риска (п. 4.5, п. 3.3 3624-У);
  • Ежегодный анализ пересмотра требований по управлению операционным риском (п.4.6).

Несмотря на формулировку, данные требования обязательны для банков с любым типом лицензии. Реализация требований возможна за счет детальной проработки организационно-распорядительной документации.

От всех банковских организаций требуется рассчитывать контрольные значения уровня оперриска. Порядок расчета приведен в пятой главе постановления и включает:

  • Сигнальное (для контроля показателя ответственным подразделением) и контрольное (для контроля советом директоров) значения (п. 5.1);
  • Утверждение (советом директоров) и расчет значений за 5 лет (п. 5.2-5.3).

Ведение базы событий операционного риска

Отдельная глава положения, применимая ко всем без исключения кредитным организациям, описывает порядок ведения базы событий (базы убытков) и возмещения потерь от событий операционного риска. Ведение базы должно подчиняться следующим правилам:

  • Порядок определяется самостоятельно (п. 6.2);
  • Порядок учета для распределенных организаций (п. 6.3);
  • Конкретные требования по пороговым значениям (п. 6.5);
  • Детализация базы событий (п. 6.6);
  • Нарастающий итого по валовым потерям (п. 6.7);
  • Консолидация различных баз событий (п. 6.10-6.12);
  • Возмещение потерь (п. 6.13-6.18);
  • Ежегодная независимая оценка сведений в базах событий (проводится уполномоченным подразделением) (п. 6.19);
  • Сохранность и ответственность за ведение данных в БС (п. 6.21).

Управление рисками IT и ИБ

Рискам IT и ИБ уделено особое внимание в положении. Если понятие рисков информационной безопасности достаточно распространено, то риски информационных систем являются достаточно экзотичными. В положении под рисками информбезопасности подразумевают риски нарушения целостности и конфиденциальности, а под рисками информационных систем – нарушение доступности информации.

Управление риском информационной безопасности должно включать в себя:

  • Определение риска информационной безопасности и его источника (п. 7.2);
  • Регистрация инцидентов и рисков информационной безопасности (п. 7.3);
  • Классификация события риска информационной безопасности по источникам и уязвимостям (п. 7.4);
  • Требования к организационно-распорядительной документации по информационной безопасности (п. 7.7, отсылки к 683-П);
  • Частные требования к политике информационной безопасности, например, сигнальные и контрольные значения показателей уровня рисков информационной безопасности (п. 7.8);
  • Требования к службе информационной безопасности, например, ведение баз событий рисков информационной безопасности (п. 7.9, 7.10).

Управление риском информационных систем в рамках положения 716-П заключается в:

  • Формировании требований к политике инфосистем (п. 8.2, 8.3) включая ежегодный пересмотр (п. 8.4);
  • Проведении мероприятий по совершенствованию системы управления рисками инфосистем (п. 8.5, 8.6);
  • Документировании требований к информационным систем (структуре, стандартизации, надежности, качества данных, ежегодные пересмотр в п. 8.7.1-8.7.8);
  • Документировании требований к качеству и непрерывности работы информсистем (в том числе описанные выше требования к информбезопасности, источники бесперебойного питания, резервное копирование не реже одного раза в день, соответствие стандартам, обеспечение непрерывности и восстановления деятельности, ежегодная оценка соответствия требованиям, ежегодное тестирование, ежегодная оценка эффективности, ответственность подразделений и должностных лиц в п. 8.8.1-8.8.13).

Обработка рисков информационных систем и информационной безопасности заключается в комплексе организационных мероприятий, направленном на снижение операционных рисков кредитной организации за счет увеличения надежности и защищенности ее автоматизированных систем.

Управления операционным риском для различных типов организаций

Положение 716-П предусматривает различные обязательства для различных кредитных организаций.

Для всех типов кредитных организаций частично применимы требования по наличию процедур управления рисками.

Небанковские кредитные организации должны выполнять:

  • Общие положения;
  • Классификация оперрисков;
  • Базы событий;
  • Отдельные требования (п. 9.4.1).

Банк с базовой лицензией (помимо предыдущего):

  • Расчет контрольных показателей;
  • Управление риском информационной безопасности.

Банк с универсальной лицензией и активами до 500 млрд (помимо предыдущего):

  • Управление риском информационных систем;
  • Дополнительные элементы системы управления операционным риском (кроме автоматизации).

Банк с универсальной лицензией и суммой активов более 500 млрд (помимо предыдущего):

  • Требования к автоматизации управления риском.

Таким образом, ста тридцати двух страничный документ требует от кредитных организаций проработанного организационного, в первую очередь методологического, подхода к управлению операционным риском. Разработка методологии и построение процессов требуют квалифицированных специалистов и выделения ресурсов.

Почему RTM Group?

  • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
  • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
  • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по управлению рисками 716-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 197-64-95
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

    Заказать

     






    Видео по управлению рисками в соответствии с 716-П

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Цены на услуги по управлению рисками в соответствии с 716-П

    Наименование услуги Стоимость

    Консультация

    бесплатно

    Управление рисками кредитных организаций в соответствие с 716-П

    по запросу

    FAQ: Часто задаваемые вопросы

    Будут ли влиять на формирование резервов внешние оценки по 683-П, 382-П и ГОСТУ?

    На данный момент прямой связи с результатами внешней оценки у суммы резервов нет.

    Однако, учитывая тенденции и политику Центрального Банка, в скором времени подобная взаимосвязь должна появиться.

    Услуги для вас

    НАМ ДОВЕРЯЮТ