Положение №716-П Банка России вступило в силу 1 октября 2020 года и становится обязательным к исполнению банковскими и кредитными организациями с 1 января 2022 года. То есть со следующего года все предусмотренные документом процедуры и процессы должны быть реализованы, а кредитная организация обязана работать с соблюдением положений этого нормативного акта. Итак, положение №716-П: о чём оно, деятельность каких организаций регламентирует этот документ и что именно нужно делать, чтобы соответствовать его требованиям? Обо всём – по порядку.
В чем суть
Положение №716-П определяет требования к разработке и внедрению системы управления операционными рисками (или СУОР). Документ содержит перечень рисков, которые законодатели отнесли к числу операционных для кредитных организаций.
Вторая глава документа посвящена собственно требованиям к таким организациям. Следует учитывать, что, в зависимости от некоторых характеристик кредитной организации (в том числе суммы активов), комплексы необходимых к реализации мероприятий могут различаться – нужно внимательно изучить документ, чтобы определить, какие именно положения относятся к каждой конкретной компании. Положение не распространяется на центрального контрагента и центральный депозитарий. Все прочие кредитные организации обязаны исполнять требования документа.
Главное, к чему сводится общая суть Положения – необходимо управлять операционными рисками, для чего потребуется разработать пакет соответствующей внутренней документации и выделить ресурсы для реализации СУОР.
Что требуется от кредитных организаций?
На 132 страницах Положения приведена подробная «дорожная карта» с описанием шагов, которые обязана выполнить кредитная организация, чтобы эффективно управлять рисками. Реализация рисков для кредитной организации влечет за собой финансовые убытки. Поэтому в соответствии с Положением кредитная организация должна:
- предусмотреть выделение денег на компенсацию ущерба, причиненного клиентам в результате реализации рисков (иначе говоря, выделить капитал на покрытие рисков). Сколько? Определить сумму «страховки» можно по нормативам либо на основании оценки размера потенциальных потерь.
- разработать и внедрить эффективную СУОР для контроля операционных рисков, в том числе в части ИС и инфобезопасности.
Внедрение эффективной СУОР предполагает наличие в штате компании специалистов, ответственных за выявление и контроль операционных рисков, в том числе в сфере ИС и ИБ – это специалисты по риск-менеджменту, информационной безопасности и ИТ-специалисты. Положением не запрещено совмещение этих функций в одном структурном подразделении, но руководству кредитной организации нужно тщательно продумать организацию их работы и порядок эффективного взаимодействия этих специалистов.
Также в кредитной организации должны быть разработаны критерии оценки рисков, показатели их уровня (для выявления критических рисков), а также шкала, в соответствии с которой определяется общая эффективность СУОР.
Ещё потребуется создать отдельный коллегиальный исполнительный орган, проработать структуру, наладить горизонтальные и вертикальные связи между структурными подразделениями.
СУОР предполагает наличие довольно сложной скоординированной структуры, быстро создать которую с нуля очень сложно. Преобразования, реорганизация, а иногда и реинжиниринг процессов, сопровождающих создание СУОР, занимает несколько лет, успеть за год-полтора способны единицы среди компаний (и только при наличии слаженной мотивированной команды).
Потенциальные риски, группы рисков
Законодатель довольно подробно описывает основные разновидности операционных рисков, с которыми сталкивается кредитная организация при осуществлении своей деятельности. Ведь чтобы предотвратить угрозу, для начала нужно знать о её существовании. Это риски:
- платёжных систем;
- ошибок в процессах управления персоналом организации;
- потерь средств из-за нарушений действующих кодексов со стороны кредитной организации (это могут быть как деньги клиентов, так и финансовые средства контрагентов, сотрудников компании или третьих лиц);
- модельные;
- ошибки в управленческих процессах в целом и в управлении проектами в частности;
- ошибки в организации и реализации внутреннего контроля;
- правовые;
- риски ИС и ИБ.
С чего начать оценку рисков? Если описать этот процесс упрощенно, то для каждой группы рисков потребуется выделить:
- объект риска;
- источник;
- тип событий;
- направление деятельности, с которым связан риск;
- потенциальные виды потерь.
Для корректной оценки каждую группу рисков, возможно, придется разделить на отдельные позиции и сначала рассматривать каждую из них отдельно.
При выявлении потенциальных видов потерь будет не лишним оценить вероятный ущерб от реализации рисков – этот показатель также повлияет на его критичность. Компания должна проводить количественную и качественную оценку каждого риска, определяя не только масштабы катастрофы, но и вероятность реализации риска. Так, риск с небольшим на первый взгляд ущербом в качестве последствия, но реализующийся часто, по результатам оценки может оказаться более критичным, нежели риск с катастрофическими финансовыми последствиями и вероятностью реализации, близкой к нулю.
Риски определены, систематизированы и оценены?
Это хорошо, так как сделан важный шаг на пути к внедрению СУОР.
Теперь необходимо создать информационной базу, в которой будут учитываться события безопасности, и определить сроки, порядок и ответственных лиц за её постоянную актуализацию. Следует учитывать, что согласно Положения №716-П события, относящиеся к категориям самой инфобезопасности и к системе управления ИБ, оцениваются отдельно и способ может отличаться.
База данных должна содержать сведения и о фактических финансовых потерях, возникших как следствие реализации риска (официально она приводится как разность суммарных потерь и суммы возмещения убытков).
Процедуры
Процедуры, исполнение которых необходимо для соблюдения требований Положения №716-П, должны быть не только разработаны, но и утверждены внутренним нормативным документом финансовой организации. Для функционирования СУОР необходимо выполнять следующие мероприятия:
- идентифицировать и оценивать риски, структурировать и обновлять необходимые для этого данные;
- отслеживать события реализации рисков, а также их последствия (в том числе, но не ограничиваясь финансовыми потерями);
- определять потери и возмещать их. Здесь нужно помнить о том, что потери вследствие реализации риска могут быть как прямыми (отражаются в бухгалтерской отчете) и непрямые (их по данным бухучета отследить и оценить невозможно — к примеру, компания потеряет клиентов, которые перестанут доверять ей из-за неспособности защитить их личные данные или понесенных убытков, потеряет деловую репутацию или будет вынуждена приостановить деятельность);
- проводить переоценку рисков ежегодно (в случае необходимости, к примеру, при выявлении новой значимой для оценки информации или при обнаружении нового риска, переоценка может производиться чаще);
- определить способы реагирования на реализацию операционных рисков и внедрить их в организации.
Для обеспечения функционирования СУОР полезным документом станет матрица рисков. Это документ, сложный как по структуре, так и по содержанию. В ней должны быть учтены не только собственно риски, разделенные по группам, но также мероприятия по их управлению, порядок реализации этих мероприятий, сроки, ответственные лица и многое другое.
Разный масштаб — разные требования
Какие именно требования Положения №716-П будут относиться к конкретной кредитной организации, будет зависеть от объема её активов и размера. В целом можно выделить следующие необходимые для внедрения процессы:
- выполнение общих положений документа;
- осуществление классификации операционных рисков;
- ведение информационной базы событий;
- ведение учета контрольных показателей;
- внедрение управления рисками информационной безопасности;
- внедрение управления рисками ИС;
- внедрение дополнительных элементов СУОР.
| Организация | Процессы для внедрения |
|---|---|
| Небанковская кредитная организация | №№1-3 из вышеуказанного списка. Также стоит обратить внимание на ряд отдельных требования к этому типу организаций. |
| Банки: | В зависимости от лицензии и объема активов. |
| Базовая лицензия | №№1-5 из вышеуказанного списка. |
| Универсальная лицензия и активы до 500 млрд.рублей | №№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР не включают в себя её автоматизацию. |
| Универсальная лицензия и активы до 500 млрд.рублей | №№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР включают в себя её автоматизацию. |
Выполнение требований Положения №716-П требует от кредитных организаций тщательно проработанного и выверенного подхода к управлению операционными рисками – от их выявления и оценки до разработки превентивных мероприятий и стратегии действий на случай реализации каждого из них.
Создание СУОР – сложный с организационной и методологической точки зрения процесс, требующий привлечения ресурсов, в том числе высококвалифицированного персонала со специализацией в сфере риск-менеджмента.
Поэтому отдать СУОР на аутсорсинг на этапе создания и внедрения системы (полностью или частично, если аналогичная система в кредитной организации уже действует) – разумное решение.
Предыдущая статья
