716-П: Управление операционными рисками кредитных организаций

Положение 716-П Банка России

Положение Банка России №716-П от «08» апреля 2020 года «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» зарегистрировано в Минюсте «03» июня 2020 года (с изм. и доп., вступ. в силу с 01.01.2023).

Указание Банка России от 25.03.2022 N 6103-У «О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Зарегистрировано в Минюсте России 30.08.2022 N 69846).

Данное указание с изменениями вступили в силу 1 октября 2022 г

716-П распространяется на кредитные организации и головные кредитные организации банковской группы кроме центрального контрагента и центрального депозитария (п.1).

При работе с риском в рамках Положения 716-П следует учесть термины: «база событий» (в терминах п.4.3 3624-У – база убытков) и «операционный риск» (п. 4.1 3624-У).

Операционный риск — риск возникновения убытков в результате ненадежности и недостатков внутренних процедур управления кредитной организации, отказа информационных и иных систем, либо вследствие влияния на деятельность кредитной организации внешних событий.

База событий (убытков) — аналитическая база данных об убытках, понесенных вследствие реализации операционного риска, содержащая информацию о видах убытков, их размере, датах возникновения, а также обо всех существенных событиях, приводящих к данным убыткам, включая обстоятельства их возникновения (выявления).

Требования по выделению капитала на покрытие рисков

Важно отметить, что для покрытия возможных убытков от реализации опер. рисков, банковской кредитной организации необходимо выделять отдельный капитал. Данный капитал может быть, в соответствии с приложением 1, рассчитан на нормативной основе (инструкция 199-И, положения 652-П и 646-П), либо на основании оценки величин рисковых потерь.

Как следствие, рассчитанная величина потенциальных потерь может позволит сократить объем капитала, который кредитная организация направляет на покрытие потерь от реализации операционного риска.

Принимая во внимание данный факт – профессиональное управление операционными рисками дает банку существенную экономию.

Структура положения 716-П по управлению операционным риском

В общей части положения (глава 1), помимо терминов, приведена краткая структура документа. Ее составные элементы (п.1.3) включают в себя:

• Процедуры управления операционным риском (глава 2);
• Классификатор событий операционного риска (глава 3);
• База событий (глава 6);
• Контрольные показатели уровня операционного риска (глава 5);
• Подразделение, ответственное за организацию управления операционным риском (п. 4.4);
• Специализированное подразделение, выполняющее процедуры по управлению риском (п.1.3);
• Подразделения, ответственные за осуществление операций и сделок и за результаты (бизнес) процесса;
• Подразделение, уполномоченное проводить ежегодную оценку эффективности функционирования системы управления операционным риском;
• Автоматизированные информационные системы управления операционным риском;
• Дополнительные элементы СУОР (Глава 4).

Следует обратить внимание, что от кредитной организации требуется выделить подразделение, ответственное за работу с операционным риском.

Помимо этого, в общей части перечислены основные виды рисков (п.1.4):

• Риск информационной безопасности (взлом, утечка и т.п.);
• Риск информационных систем (отказ);
• Правовой риск (п.3.3 3624-У);
• Риск ошибок в управлении проектами;
• Риск ошибок в управленческих процессах;
• Риск ошибок в процессах осуществления внутреннего контроля ПОД/ФТ;
• Модельный риск (п.4.2 Приложения 1 к 3624-У);
• Риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг;
• Риск ошибок процесса управления персоналом;
• Операционный риск платежной системы (абз. 3 пункта 1 приложения 2 607-П).
• Риск нарушения непрерывности деятельности.

Процедуры управления операционным риском

Начиная со второй главы, приводятся требования, которым кредитная организация должна удовлетворять с «01» января 2022 года. Следует отметить, что не все требования обязательны для всех типов кредитных организаций. Обобщенно свод требований приведен ниже.

Первое требование – наличие набора процедур. Их общий перечень представлен во второй главе положения.

Для выполнения требования по отдельным процедурам, кредитной организации потребуется разработать пакет документов и выделить ресурс (по большей части человеческий) для реализации данных процедур.

Положение регламентирует следующие процедуры управления оперрисками:

• Идентификация рисков (п.2.1.1);
• Сбор и регистрация событий и потерь (п.2.1.2);
• Определение и возмещение потерь (п.2.1.3);
• Количественная оценка уровня оперрисков (п.2.1.4);
• Качественная оценка уровня оперрисков (п.2.1.5);
• Самооценка рисков не реже одного раза в год по собственной методике (п.2.1.5);
• Выбор и применение способа реагирования на ОР (п.2.1.6);
• Мониторинг оперрисков (п.2.1.7).

Виды операционных рисков

Третья глава положения требует строгой классификации всех рисков. Выполнение данных пунктов обязательно для всех без исключения типов кредитных организаций.

Классификацию необходимо вести по следующим направлениям:

• По источникам (п.3.3);
• По типам событий (п.3.6, приложение 4);
• По направлениям деятельности (п.3.9);
• По видам потерь (п.3.11-3.13).

Дополнительные элементы системы управления рисками

Дополнительные элементы системы управления рисками

В положении отдельно обозначены следующие дополнительные элементы системы управления операционными рисками:

• Бизнес- и технологические процессы организации (п. 4.1.1);
• ОРД (п. 4.1.1-4.1.4);
• Мероприятия по совершенствованию системы управления операционным риском (п. 4.1.5);
• Мотивация работников по обработке операционных рисков (п. 4.1.6);
• События и отчеты по операционным рискам (п. 4.1.7-4.2.5);
• Подробный перечень показателей по событиям операционных рисков (п.4.2.4);
• Требования к информационным системам управления операционным риском (п. 4.3.1);
• Требования к управлению модельным риском (п. 4.3.2);
• Оценка эффективности системы управления операционным риском (п. 4.4);
• Плановые (целевые) показатели уровня операционного риска (п. 4.5, п. 3.3 3624-У);
• Ежегодный анализ пересмотра требований по управлению операционным риском (п.4.6).

Несмотря на формулировку, данные требования обязательны для банков с любым типом лицензии. Реализация требований возможна за счет детальной проработки организационно-распорядительной документации.

От всех банковских организаций требуется рассчитывать контрольные значения уровня оперриска. Порядок расчета приведен в пятой главе постановления и включает:

• Сигнальное (для контроля показателя ответственным подразделением) и контрольное (для контроля советом директоров) значения (п. 5.1);
• Утверждение (советом директоров) и расчет значений за 5 лет (п. 5.2-5.3).

Кредитная организация должна установить периодичность (не реже одного раза в год) проведения оценки в целях пересмотра КИР для обеспечения поддержания КИР в актуальном состоянии. В целях контроля за уровнем ОР кредитная организация определяет на плановый годовой период контрольные показатели уровня операционного риска (КПУР), устанавливает сигнальные значения и контрольные значения.

Подходы к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска в соответствии с Приложением 2 Положения №716-П: регуляторный и продвинутый подходы.

Размер операционного риска для головной банковской организации определяется в соответствии с Положением №744-П, для участников банковской группы в соответствии с Положением №814 -П.

На сайте Банка России опубликованы актуальные «Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности № 17-МР от 30.11.2023», в которых даются пояснения по определению показателям операционного риска, связанные с несогласованными переводами денежных средств клиентов.

В данном документе детализированы методики расчетов фактических, контрольных и сигнальных значений КПУР (КИР) характеризующие динамику осуществления переводов денежных средств без согласия клиента (ИБ ОБС) в соответствии с 716-П.

Отчет по управлению операционным риском в кредитной организации составляется ежеквартально в соответствии с формой отчетности 0409106.

Ведение базы событий операционного риска

Глава 6 положения, применимая ко всем без исключения кредитным организациям, описывает порядок ведения базы событий (базы убытков) и возмещения потерь от событий операционного риска. Ведение базы должно подчиняться следующим правилам:

• Порядок определяется самостоятельно (п. 6.2);
• Порядок учета для распределенных организаций (п. 6.3);
• Конкретные требования по пороговым значениям (п. 6.5);
• Детализация базы событий (п. 6.6);
• Нарастающий итого по валовым потерям (п. 6.7);
• Консолидация различных баз событий (п. 6.10-6.12);
• Возмещение потерь (п. 6.13-6.18);
• Ежегодная независимая оценка сведений в базах событий (проводится уполномоченным подразделением) (п. 6.19);
• Сохранность и ответственность за ведение данных в БС (п. 6.21).

Управление рисками ИТ и ИБ

Рискам ИТ и ИБ уделено особое внимание в положении. Если понятие рисков информационной безопасности достаточно распространено, то риски информационных систем являются достаточно экзотичными. В положении под рисками информбезопасности подразумевают риски нарушения целостности и конфиденциальности, а под рисками информационных систем – нарушение доступности информации.

Управление риском информационной безопасности должно включать в себя:

• Определение риска информационной безопасности и его источника (п. 7.2);
• Регистрация инцидентов и рисков информационной безопасности (п. 7.3);
• Классификация события риска информационной безопасности по источникам и уязвимостям (п. 7.4);
• Требования к организационно-распорядительной документации по информационной безопасности (п. 7.7, отсылки к 683-П);
• Частные требования к политике информационной безопасности, например, сигнальные и контрольные значения показателей уровня рисков информационной безопасности (п. 7.8);
• Требования к службе информационной безопасности, например, ведение баз событий рисков информационной безопасности (п. 7.9, 7.10).

Управление риском информационных систем в рамках положения 716-П заключается в:

• Формировании требований к политике ИС (п. 8.2, 8.3) включая ежегодный пересмотр (п. 8.4);
• Проведении мероприятий по совершенствованию системы управления рисками ИС (п. 8.5, 8.6);
• Документировании требований к информационным систем (структуре, стандартизации, надежности, качества данных, ежегодные пересмотр в п. 8.7.1-8.7.8);
• Документировании требований к качеству и непрерывности работы информсистем (в том числе описанные выше требования к информбезопасности, источники бесперебойного питания, резервное копирование не реже одного раза в день, соответствие стандартам, обеспечение непрерывности и восстановления деятельности, ежегодная оценка соответствия требованиям, ежегодное тестирование, ежегодная оценка эффективности, ответственность подразделений и должностных лиц в п. 8.8.1-8.8.13).

Обработка рисков информационных систем и информационной безопасности заключается в комплексе организационных мероприятий, направленном на снижение операционных рисков кредитной организации за счет увеличения надежности и защищенности ее автоматизированных систем.

Управления операционным риском для различных типов организаций

Положение 716-П предусматривает различные обязательства для различных кредитных организаций.

Для всех типов кредитных организаций частично применимы требования по наличию процедур управления рисками.

Небанковские кредитные организации должны выполнять:

• Общие положения;
• Классификация оперрисков;
• Базы событий;
• Отдельные требования (п. 9.4.1).

Банк с базовой лицензией (помимо предыдущего):

• Расчет контрольных показателей;
• Управление риском информационной безопасности.

Банк с универсальной лицензией и активами до 500 млрд (помимо предыдущего):

• Управление риском информационных систем;
• Дополнительные элементы системы управления операционным риском (кроме автоматизации).

Банк с универсальной лицензией и суммой активов более 500 млрд (помимо предыдущего):

• Требования к автоматизации управления риском.

Таким образом, Положение 716-П требует от кредитных организаций проработанного организационного, в первую очередь методологического, подхода к управлению операционным риском. Разработка методологии и построение процессов требуют квалифицированных специалистов и выделения ресурсов.

Почему RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты