Сервисы
Managed IT
Решения
Security
Импортозамещение
Партнерам
О компании

Новое положение 716-П: для кого и зачем

Положение №716-П Банка России вступило в силу 1 октября 2020 года и становится обязательным к исполнению банковскими и кредитными организациями с 1 января 2022 года. То есть со следующего года все предусмотренные документом процедуры и процессы должны быть реализованы, а кредитная организация обязана работать с соблюдением положений этого нормативного акта. Итак, положение №716-П: о чём оно, деятельность каких организаций регламентирует этот документ и что именно нужно делать, чтобы соответствовать его требованиям? Обо всём – по порядку.

В чем суть

Положение №716-П определяет требования к разработке и внедрению системы управления операционными рисками (или СУОР). Документ содержит перечень рисков, которые законодатели отнесли к числу операционных для кредитных организаций.

Вторая глава документа посвящена собственно требованиям к таким организациям. Следует учитывать, что, в зависимости от некоторых характеристик кредитной организации (в том числе суммы активов), комплексы необходимых к реализации мероприятий могут различаться – нужно внимательно изучить документ, чтобы определить, какие именно положения относятся к каждой конкретной компании. Положение не распространяется на центрального контрагента и центральный депозитарий. Все прочие кредитные организации обязаны исполнять требования документа.

Главное, к чему сводится общая суть Положения – необходимо управлять операционными рисками, для чего потребуется разработать пакет соответствующей внутренней документации и выделить ресурсы для реализации СУОР.

[text_with_btn btn=»ПОДРОБНЕЕ» link=»https://www.itglobal.com/ru-ru/services/info-security/security-analysis/» btn_size=»normal»]Оценка информационной безопасности[/text_with_btn]

Что требуется от кредитных организаций?

На 132 страницах Положения приведена подробная «дорожная карта» с описанием шагов, которые обязана выполнить кредитная организация, чтобы эффективно управлять рисками. Реализация рисков для кредитной организации влечет за собой финансовые убытки. Поэтому в соответствии с Положением кредитная организация должна:

  1. предусмотреть выделение денег на компенсацию ущерба, причиненного клиентам в результате реализации рисков (иначе говоря, выделить капитал на покрытие рисков). Сколько? Определить сумму «страховки» можно по нормативам либо на основании оценки размера потенциальных потерь.
  2. разработать и внедрить эффективную СУОР для контроля операционных рисков, в том числе в части ИС и инфобезопасности.

Внедрение эффективной СУОР предполагает наличие в штате компании специалистов, ответственных за выявление и контроль операционных рисков, в том числе в сфере ИС и ИБ – это специалисты по риск-менеджменту, информационной безопасности и ИТ-специалисты. Положением не запрещено совмещение этих функций в одном структурном подразделении, но руководству кредитной организации нужно тщательно продумать организацию их работы и порядок эффективного взаимодействия этих специалистов.

Также в кредитной организации должны быть разработаны критерии оценки рисков, показатели их уровня (для выявления критических рисков), а также шкала, в соответствии с которой определяется общая эффективность СУОР.

Ещё потребуется создать отдельный коллегиальный исполнительный орган, проработать структуру, наладить горизонтальные и вертикальные связи между структурными подразделениями.

СУОР предполагает наличие довольно сложной скоординированной структуры, быстро создать которую с нуля очень сложно. Преобразования, реорганизация, а иногда и реинжиниринг процессов, сопровождающих создание СУОР, занимает несколько лет, успеть за год-полтора способны единицы среди компаний (и только при наличии слаженной мотивированной команды).

Потенциальные риски, группы рисков

Законодатель довольно подробно описывает основные разновидности операционных рисков, с которыми сталкивается кредитная организация при осуществлении своей деятельности. Ведь чтобы предотвратить угрозу, для начала нужно знать о её существовании. Это риски:

С чего начать оценку рисков? Если описать этот процесс упрощенно, то для каждой группы рисков потребуется выделить:

Для корректной оценки каждую группу рисков, возможно, придется разделить на отдельные позиции и сначала рассматривать каждую из них отдельно.

При выявлении потенциальных видов потерь будет не лишним оценить вероятный ущерб от реализации рисков – этот показатель также повлияет на его критичность. Компания должна проводить количественную и качественную оценку каждого риска, определяя не только масштабы катастрофы, но и вероятность реализации риска. Так, риск с небольшим на первый взгляд ущербом в качестве последствия, но реализующийся часто, по результатам оценки может оказаться более критичным, нежели риск с катастрофическими финансовыми последствиями и вероятностью реализации, близкой к нулю.

Риски определены, систематизированы и оценены?

Это хорошо, так как сделан важный шаг на пути к внедрению СУОР.

Теперь необходимо создать информационной базу, в которой будут учитываться события безопасности, и определить сроки, порядок и ответственных лиц за её постоянную актуализацию. Следует учитывать, что согласно Положения №716-П события, относящиеся к категориям самой инфобезопасности и к системе управления ИБ, оцениваются отдельно и способ может отличаться.

База данных должна содержать сведения и о фактических финансовых потерях, возникших как следствие реализации риска (официально она приводится как разность суммарных потерь и суммы возмещения убытков).

Процедуры

Процедуры, исполнение которых необходимо для соблюдения требований Положения №716-П, должны быть не только разработаны, но и утверждены внутренним нормативным документом финансовой организации. Для функционирования СУОР необходимо выполнять следующие мероприятия:

Для обеспечения функционирования СУОР полезным документом станет матрица рисков. Это документ, сложный как по структуре, так и по содержанию. В ней должны быть учтены не только собственно риски, разделенные по группам, но также мероприятия по их управлению, порядок реализации этих мероприятий, сроки, ответственные лица и многое другое.

Разный масштаб — разные требования

Какие именно требования Положения №716-П будут относиться к конкретной кредитной организации, будет зависеть от объема её активов и размера. В целом можно выделить следующие необходимые для внедрения процессы:

  1. выполнение общих положений документа;
  2. осуществление классификации операционных рисков;
  3. ведение информационной базы событий;
  4. ведение учета контрольных показателей;
  5. внедрение управления рисками информационной безопасности;
  6. внедрение управления рисками ИС;
  7. внедрение дополнительных элементов СУОР.
[table id=»348″ ] [tr][cell th=»on»]Организация[/cell] [cell th=»on»]Процессы для внедрения[/cell][/tr] [tr][cell]Небанковская кредитная организация[/cell] [cell]№№1-3 из вышеуказанного списка. Также стоит обратить внимание на ряд отдельных требования к этому типу организаций. [/cell][/tr] [tr][cell]Банки:[/cell] [cell]В зависимости от лицензии и объема активов.[/cell][/tr] [tr][cell]Базовая лицензия[/cell] [cell]№№1-5 из вышеуказанного списка.[/cell][/tr] [tr][cell]Универсальная лицензия и активы до 500 млрд.рублей[/cell] [cell]№№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР не включают в себя её автоматизацию. [/cell][/tr] [tr][cell]Универсальная лицензия и активы до 500 млрд.рублей[/cell] [cell]№№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР включают в себя её автоматизацию. [/cell][/tr] [/table]

Выполнение требований Положения №716-П требует от кредитных организаций тщательно проработанного и выверенного подхода к управлению операционными рисками – от их выявления и оценки до разработки превентивных мероприятий и стратегии действий на случай реализации каждого из них.

Создание СУОР – сложный с организационной и методологической точки зрения процесс, требующий привлечения ресурсов, в том числе высококвалифицированного персонала со специализацией в сфере риск-менеджмента.

Поэтому отдать СУОР на аутсорсинг на этапе создания и внедрения системы (полностью или частично, если аналогичная система в кредитной организации уже действует) – разумное решение.