716-П: Управление операционными рисками кредитных организаций

Мы предлагаем:

  • Аудит системы управления операционными рисками
  • Приведение системы управления операционными рисками в соответствие требованиям ЦБ РФ
  • Встраивание в систему управления операционными рисками модулей рисков ИБ и IT

Почему мы:

Мы работаем с IT и ИБ более 7 лет, понимаем актуальность рисков на основании проведенных судебных экспертиз и аудитов в области IT и ИБ.

Важно:

Выполнять требования Положения 716-П необходимо постоянно.

716-П: Управление операционными рисками кредитных организаций - услуги RTM Group
716-П: Управление операционными рисками кредитных организаций - от RTM Group
Узнать стоимость?

Эксперты по управлению рисками в соответствии с 716-П

Эксперт по управлению рисками в соответствии с 716-П Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по управлению рисками в соответствии с 716-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по управлению рисками в соответствии с 716-П Чекудаев Кирилл Викторович

Чекудаев Кирилл Викторович

Эксперт по управлению рисками

Опыт: Стаж работы по экономическим направлениям с 2003 года. Педагогический стаж с 2007 года.

Профиль >>

Все эксперты

Положение 716-П Банка России

Положение Банка России №716-П от “08” апреля 2020 года “О требованиях к системе управления операционным риском в кредитной организации и банковской группе” зарегистрировано в Минюсте “03” июня 2020 года (с изм. и доп., вступ. в силу с 01.01.2023).

Указание Банка России от 25.03.2022 N 6103-У “О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П “О требованиях к системе управления операционным риском в кредитной организации и банковской группе” (Зарегистрировано в Минюсте России 30.08.2022 N 69846).

Данное указание с изменениями вступили в силу 1 октября 2022 г

716-П распространяется на кредитные организации и головные кредитные организации банковской группы кроме центрального контрагента и центрального депозитария (п.1).

При работе с риском в рамках Положения 716-П следует учесть термины: «база событий» (в терминах п.4.3 3624-У – база убытков) и «операционный риск» (п. 4.1 3624-У).

Операционный риск — риск возникновения убытков в результате ненадежности и недостатков внутренних процедур управления кредитной организации, отказа информационных и иных систем, либо вследствие влияния на деятельность кредитной организации внешних событий.

База событий (убытков) — аналитическая база данных об убытках, понесенных вследствие реализации операционного риска, содержащая информацию о видах убытков, их размере, датах возникновения, а также обо всех существенных событиях, приводящих к данным убыткам, включая обстоятельства их возникновения (выявления).

 

Требования по выделению капитала на покрытие рисков

Важно отметить, что для покрытия возможных убытков от реализации опер. рисков, банковской кредитной организации необходимо выделять отдельный капитал. Данный капитал может быть, в соответствии с приложением 1, рассчитан на нормативной основе (инструкция 199-И, положения 652-П и 646-П), либо на основании оценки величин рисковых потерь.

Как следствие, рассчитанная величина потенциальных потерь может позволит сократить объем капитала, который кредитная организация направляет на покрытие потерь от реализации операционного риска.

Принимая во внимание данный факт – профессиональное управление операционными рисками дает банку существенную экономию.

 

Структура положения 716-П по управлению операционным риском

В общей части положения (глава 1), помимо терминов, приведена краткая структура документа. Ее составные элементы (п.1.3) включают в себя:

  • Процедуры управления операционным риском (глава 2);
  • Классификатор событий операционного риска (глава 3);
  • База событий (глава 6);
  • Контрольные показатели уровня операционного риска (глава 5);
  • Подразделение, ответственное за организацию управления операционным риском (п. 4.4);
  • Специализированное подразделение, выполняющее процедуры по управлению риском (п.1.3);
  • Подразделения, ответственные за осуществление операций и сделок и за результаты (бизнес) процесса;
  • Подразделение, уполномоченное проводить ежегодную оценку эффективности функционирования системы управления операционным риском;
  • Автоматизированные информационные системы управления операционным риском;
  • Дополнительные элементы СУОР (Глава 4).

Следует обратить внимание, что от кредитной организации требуется выделить подразделение, ответственное за работу с операционным риском.

Помимо этого, в общей части перечислены основные виды рисков (п.1.4):

  • Риск информационной безопасности (взлом, утечка и т.п.);
  • Риск информационных систем (отказ);
  • Правовой риск (п.3.3 3624-У);
  • Риск ошибок в управлении проектами;
  • Риск ошибок в управленческих процессах;
  • Риск ошибок в процессах осуществления внутреннего контроля ПОД/ФТ;
  • Модельный риск (п.4.2 Приложения 1 к 3624-У);
  • Риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг;
  • Риск ошибок процесса управления персоналом;
  • Операционный риск платежной системы (абз. 3 пункта 1 приложения 2 607-П).
  • Риск нарушения способности поддерживать операционную устойчивость.

 

Процедуры управления операционным риском

Начиная со второй главы, приводятся требования, которым кредитная организация должна удовлетворять к “01” января 2022 года. Следует отметить, что не все требования обязательны для всех типов кредитных организаций. Обобщенно свод требований приведен ниже.

Первое требование – наличие набора процедур. Их общий перечень представлен во второй главе положения.

Для выполнения требования по отдельным процедурам, кредитной организации потребуется разработать пакет документов и выделить ресурс (по большей части человеческий) для реализации данных процедур.

Положение регламентирует следующие процедуры управления оперрисками:

  • Идентификация рисков (п.2.1.1);
  • Сбор и регистрация событий и потерь (п.2.1.2);
  • Определение и возмещение потерь (п.2.1.3);
  • Количественная оценка уровня оперрисков (п.2.1.4);
  • Качественная оценка уровня оперрисков (п.2.1.5);
  • Самооценка рисков не реже одного раза в год по собственной методике (п.2.1.5);
  • Выбор и применение способа реагирования на ОР (п.2.1.6);
  • Мониторинг оперрисков (п.2.1.7).

 

Виды операционных рисков

Третья глава положения требует строгой классификации всех рисков. Выполнение данных пунктов обязательно для всех без исключения типов кредитных организаций.

Классификацию необходимо вести по следующим направлениям:

  • По источникам (п.3.3);
  • По типам событий (п.3.6, приложение 4);
  • По направлениям деятельности (п.3.9);
  • По видам потерь (п.3.11-3.13).

 

Дополнительные элементы системы управления рисками

Дополнительные элементы системы управления рисками

В положении отдельно обозначены следующие дополнительные элементы системы управления операционными рисками:

  • Бизнес- и технологические процессы организации (п. 4.1.1);
  • ОРД (п. 4.1.1-4.1.4);
  • Мероприятия по совершенствованию системы управления операционным риском (п. 4.1.5);
  • Мотивация работников по обработке операционных рисков (п. 4.1.6);
  • События и отчеты по операционным рискам (п. 4.1.7-4.2.5);
  • Подробный перечень показателей по событиям операционных рисков (п.4.2.4);
  • Требования к информационным системам управления операционным риском (п. 4.3.1);
  • Требования к управлению модельным риском (п. 4.3.2);
  • Оценка эффективности системы управления операционным риском (п. 4.4);
  • Плановые (целевые) показатели уровня операционного риска (п. 4.5, п. 3.3 3624-У);
  • Ежегодный анализ пересмотра требований по управлению операционным риском (п.4.6).

Несмотря на формулировку, данные требования обязательны для банков с любым типом лицензии. Реализация требований возможна за счет детальной проработки организационно-распорядительной документации.

От всех банковских организаций требуется рассчитывать контрольные значения уровня оперриска. Порядок расчета приведен в пятой главе постановления и включает:

  • Сигнальное (для контроля показателя ответственным подразделением) и контрольное (для контроля советом директоров) значения (п. 5.1);
  • Утверждение (советом директоров) и расчет значений за 5 лет (п. 5.2-5.3).

Кредитная организация должна установить периодичность (не реже одного раза в год) проведения оценки в целях пересмотра КИР для обеспечения поддержания КИР в актуальном состоянии. В целях контроля за уровнем ОР кредитная организация определяет на плановый годовой период контрольные показатели уровня операционного риска (КПУР), устанавливает сигнальные значения и контрольные значения.

Подходы к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска в соответствии с Приложением 2 Положения №716-П: регуляторный и продвинутый подходы.

Размер операционного риска для головной банковской организации определяется в соответствии с Положением №744-П, для участников банковской группы в соответствии с Положением №814 -П.

На сайте Банка России опубликованы актуальные «Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности № 17-МР от 30.11.2023», в которых даются пояснения по определению показателям операционного риска, связанные с несогласованными переводами денежных средств клиентов.

В данном документе детализированы методики расчетов фактических, контрольных и сигнальных значений КПУР (КИР) характеризующие динамику осуществления переводов денежных средств без согласия клиента (ИБ ОБС) в соответствии с 716-П.

Отчет по управлению операционным риском в кредитной организации составляется ежеквартально в соответствии с формой отчетности 0409106.

Ведение базы событий операционного риска

Глава 6 положения, применимая ко всем без исключения кредитным организациям, описывает порядок ведения базы событий (базы убытков) и возмещения потерь от событий операционного риска. Ведение базы должно подчиняться следующим правилам:

  • Порядок определяется самостоятельно (п. 6.2);
  • Порядок учета для распределенных организаций (п. 6.3);
  • Конкретные требования по пороговым значениям (п. 6.5);
  • Детализация базы событий (п. 6.6);
  • Нарастающий итого по валовым потерям (п. 6.7);
  • Консолидация различных баз событий (п. 6.10-6.12);
  • Возмещение потерь (п. 6.13-6.18);
  • Ежегодная независимая оценка сведений в базах событий (проводится уполномоченным подразделением) (п. 6.19);
  • Сохранность и ответственность за ведение данных в БС (п. 6.21).

 

Управление рисками ИТ и ИБ

Рискам ИТ и ИБ уделено особое внимание в положении. Если понятие рисков информационной безопасности достаточно распространено, то риски информационных систем являются достаточно экзотичными. В положении под рисками информбезопасности подразумевают риски нарушения целостности и конфиденциальности, а под рисками информационных систем – нарушение доступности информации.

Управление риском информационной безопасности должно включать в себя:

  • Определение риска информационной безопасности и его источника (п. 7.2);
  • Регистрация инцидентов и рисков информационной безопасности (п. 7.3);
  • Классификация события риска информационной безопасности по источникам и уязвимостям (п. 7.4);
  • Требования к организационно-распорядительной документации по информационной безопасности (п. 7.7, отсылки к 683-П);
  • Частные требования к политике информационной безопасности, например, сигнальные и контрольные значения показателей уровня рисков информационной безопасности (п. 7.8);
  • Требования к службе информационной безопасности, например, ведение баз событий рисков информационной безопасности (п. 7.9, 7.10).

Управление риском информационных систем в рамках положения 716-П заключается в:

  • Формировании требований к политике инфосистем (п. 8.2, 8.3) включая ежегодный пересмотр (п. 8.4);
  • Проведении мероприятий по совершенствованию системы управления рисками инфосистем (п. 8.5, 8.6);
  • Документировании требований к информационным систем (структуре, стандартизации, надежности, качества данных, ежегодные пересмотр в п. 8.7.1-8.7.8);
  • Документировании требований к качеству и непрерывности работы информсистем (в том числе описанные выше требования к информбезопасности, источники бесперебойного питания, резервное копирование не реже одного раза в день, соответствие стандартам, обеспечение непрерывности и восстановления деятельности, ежегодная оценка соответствия требованиям, ежегодное тестирование, ежегодная оценка эффективности, ответственность подразделений и должностных лиц в п. 8.8.1-8.8.13).

Обработка рисков информационных систем и информационной безопасности заключается в комплексе организационных мероприятий, направленном на снижение операционных рисков кредитной организации за счет увеличения надежности и защищенности ее автоматизированных систем.

 

Управления операционным риском для различных типов организаций

Положение 716-П предусматривает различные обязательства для различных кредитных организаций.

Для всех типов кредитных организаций частично применимы требования по наличию процедур управления рисками.

Небанковские кредитные организации должны выполнять:

  • Общие положения;
  • Классификация оперрисков;
  • Базы событий;
  • Отдельные требования (п. 9.4.1).

Банк с базовой лицензией (помимо предыдущего):

  • Расчет контрольных показателей;
  • Управление риском информационной безопасности.

Банк с универсальной лицензией и активами до 500 млрд (помимо предыдущего):

  • Управление риском информационных систем;
  • Дополнительные элементы системы управления операционным риском (кроме автоматизации).

Банк с универсальной лицензией и суммой активов более 500 млрд (помимо предыдущего):

  • Требования к автоматизации управления риском.

Таким образом, Положение 716-П требует от кредитных организаций проработанного организационного, в первую очередь методологического, подхода к управлению операционным риском. Разработка методологии и построение процессов требуют квалифицированных специалистов и выделения ресурсов.

 

Почему RTM Group?

  • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
  • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к “продаже” дополнительных услуг.
  • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по управлению рисками в соответствии с 716-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Видео по управлению рисками в соответствии с 716-П

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по управлению рисками в соответствии с 716-П

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Обследование системы управления рисками и процессов

Срок – от 8 недель

от 400 000 руб.

Разработка ОРД для приведения системы управления рисками в соответствие требованиям 716-П

Разработка организационно-распорядительной документации для приведения системы управления рисками в соответствие требованиям 716-П.
Срок – от 12 недель

от 500 000 руб.

Обследование системы управления IT и ИБ рисками и процессов

Срок – от 4 недель

от 200 000 руб.

Разработка ОРД для приведения системы управления IT и ИБ рисками в соответствие требованиям 716-П

Разработка организационно-распорядительной документации для приведения системы управления IT и ИБ рисками в соответствие требованиям 716-П.
Срок – от 6 недель

от 250 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

Услуги для вас

Продукты и решения для вас

Нам доверяют

Полезные статьи

FAQ: Часто задаваемые вопросы

Будут ли влиять на формирование резервов внешние оценки по 683-П, 382-П и ГОСТУ?

На данный момент прямой связи с результатами внешней оценки у суммы резервов нет.

Однако, учитывая тенденции и политику Центрального Банка, в скором времени подобная взаимосвязь должна появиться.

Методика определения уровня риска ИБ и ИТ по 716-П существует?

Общепринятой методики от регулятора или ФСТЭК не существует.

В банках, в которых проводим работы, мы встраиваем риски IT и ИБ действующую систему управления рисками.

Относительно 716-П нужен ли какой отчет?

Отдельный отчет не требуется, по 716-П пока не требуется и сторонний аудит по определенной форме. Пока требуется только приведение в соответствие требованиям 716-П. Единственное, отдельные пункты положения требуют внутренних ежегодных аудитов, которые банк должен проводить самостоятельно, чтобы определить, насколько у него действующая риск-модель соответствует объективным требованиям. Но именно отчет по степени соответствия 716-П не требуется.

Для события операционного риска, связанного со сбоем в информационной системе, какое подразделение кредитной организации будет являться подразделением, в котором произошло данное событие операционного риска? Подразделение, ответственное за обеспечение функционирования информационных систем, или подразделение, использующее в своей деятельности информационную систему, в которой произошел сбой?

В случае, если сбой информационной системы произошел в процессе функционирования отдельного подразделения и (или) направления деятельности кредитной организации, данное событие операционного риска следует отнести к тому направлению деятельности, в котором оно произошло.

Например если сбой произошел в информационной системе процесса кредитования физических лиц, данное событие операционного риска необходимо отнести к направлению деятельности «розничное банковское обслуживание».

В случае если сбой информационной системы, произошедший в кредитной организации, затронул всю ее деятельность, данное событие операционного риска следует отнести к направлению деятельности «обеспечение деятельности кредитной организации».

Вопрос по штатному расписанию: может ли одно и то же подразделение одновременно быть ответственным за обеспечение функционирования информационных систем и за обеспечение непрерывности функционирования информационных систем?

Совмещение не запрещено. Но целесообразно разделить функции по обеспечению функционирования информационных систем и обеспечению непрерывности функционирования информационных систем, после чего отнести их к компетенции различных структурных подразделений и разных должностных лиц, поскольку функция обеспечения непрерывности функционирования информационных систем в большей степени относится к функции по обеспечению непрерывности деятельности кредитной организации.

Каков порядок определения требований к качеству данных?

В целях управления риском информационных систем кредитной организации следует разработать во внутренних документах и соблюдать все требования к обеспечению качества данных в информационных системах, независимо от степени их влияния на бесперебойность работы информационных систем, в том числе не допускается ограничивать состав данных, к которым предъявляются требования к качеству данных и их характеристик. С учетом характера и масштаба деятельности, определять во внутренних документах дополнительные характеристики качества данных в информационных системах. Также следует определить во внутренних документах методику и порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, определяемые в соответствии с пунктом 4.1.

Расскажите подробнее про центры компетенций. Кто (должности) должен входить в такие центры?

Как можно понять из названия, в центрах компетенции должны находиться те люди, которые в этом компетентны. Но исходя из практики у реально компетентных сотрудников недостаточно полномочий/обязанностей/функционала для организации взаимодействия между всеми подразделениями. Поэтому в ЦК должен входить кто-то из топ-менеджмента. Пример: в положении 382П были указаны кураторы – у служб ИТ и ИБ они должны быть разными. Туда должен входить специалисты, имеющий наибольший уровень компетентности в соответствующей области (риски, ИТ, ИБ и так далее). А над ними должен стоять руководитель, уполномоченный давать указания между всеми подразделениями.

По какой методике проводить оценку рисков ИБ? Методика, изложенная в рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности», которые введены в действие 01.01.2010 года уже существенно устарела.

Можно проводить и по этой методике, если нет императивных предписаний по поводу использования какой-либо отдельной методики или запрета названной вами.

События ИС должны вестись отдельно или должны передаваться в ИБ?

События ИС могут вестись отдельно, но они должны также указываться в общей базе операционных рисков. По поводу передачи – зависит от того, относится ли это к компетенциям ИБ. Если нет, они остаются в общей базе операционных рисков.

Кто должен контролировать ведение событий рисков ИС – СУР, ИБ и т.д.?

Основной контролирующий орган во всех организациях – служба внутреннего контроля. Также таковым в отношении ИТ/ИБ может быть подразделение по управлению рисками.

Методики можно использовать только те, которые одобрены ЦБ, иначе к банку будут применены санкции?

Нет, санкций не будет, если методики не противоречат действующему законодательству и требованиям ЦБ РФ. Разумеется, это нужно будет обосновать.

Добрый день! Как избежать конфликта интересов при ведении баз событий риска ИБ и риска ИС?

Подраздления ИБ и ИТ ведут свои базы событий которые перетекают в общую базу событий, ответственное за которое подразделение по управлению операционными рисками. При этом операционные риски должны быть распределены, классифицированы и в соответствии с центрами компетенций. Координирующая роль в определению полномочий, в том числе по ведению базы событий, относится к службе по управлению операционными рисками.

Какие методики оценки рисков ИБ одобрены ЦБ?

СТО БР ИББС-1.2-2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации, Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации СТО БР ИББС-1.0-2014.

Может более правильно вести единую базу СОР в организации?

Можно вести единую. Можно отдельно по рискам ИБ и по рискам ИТ.

Интересует отчетность по рискам ИБ и ИС, для кого она обязательна?

С 1 октября 2022 вводится и вступает в силу форма отчётности для ЦБ РФ – 49-27У. Положение вводит 2 новые формы отчётности. Отчётность должна предоставляться каждый квартал, при это она является обязательной.