Контакты
На предыдущую страницу
Блог
Владимир Осокин
4

Новое положение 716-П: для кого и зачем

22.09.2021
Дата обновления: 02.03.2022

Положение №716-П Банка России вступило в силу 1 октября 2020 года и становится обязательным к исполнению банковскими и кредитными организациями с 1 января 2022 года. То есть со следующего года все предусмотренные документом процедуры и процессы должны быть реализованы, а кредитная организация обязана работать с соблюдением положений этого нормативного акта. Итак, положение №716-П: о чём оно, деятельность каких организаций регламентирует этот документ и что именно нужно делать, чтобы соответствовать его требованиям? Обо всём – по порядку.

В чем суть

Положение №716-П определяет требования к разработке и внедрению системы управления операционными рисками (или СУОР). Документ содержит перечень рисков, которые законодатели отнесли к числу операционных для кредитных организаций.

Вторая глава документа посвящена собственно требованиям к таким организациям. Следует учитывать, что, в зависимости от некоторых характеристик кредитной организации (в том числе суммы активов), комплексы необходимых к реализации мероприятий могут различаться – нужно внимательно изучить документ, чтобы определить, какие именно положения относятся к каждой конкретной компании. Положение не распространяется на центрального контрагента и центральный депозитарий. Все прочие кредитные организации обязаны исполнять требования документа.

Главное, к чему сводится общая суть Положения – необходимо управлять операционными рисками, для чего потребуется разработать пакет соответствующей внутренней документации и выделить ресурсы для реализации СУОР.

Оценка информационной безопасности
ПОДРОБНЕЕ

Что требуется от кредитных организаций?

На 132 страницах Положения приведена подробная «дорожная карта» с описанием шагов, которые обязана выполнить кредитная организация, чтобы эффективно управлять рисками. Реализация рисков для кредитной организации влечет за собой финансовые убытки. Поэтому в соответствии с Положением кредитная организация должна:

  1. предусмотреть выделение денег на компенсацию ущерба, причиненного клиентам в результате реализации рисков (иначе говоря, выделить капитал на покрытие рисков). Сколько? Определить сумму «страховки» можно по нормативам либо на основании оценки размера потенциальных потерь.
  2. разработать и внедрить эффективную СУОР для контроля операционных рисков, в том числе в части ИС и инфобезопасности.

Внедрение эффективной СУОР предполагает наличие в штате компании специалистов, ответственных за выявление и контроль операционных рисков, в том числе в сфере ИС и ИБ – это специалисты по риск-менеджменту, информационной безопасности и ИТ-специалисты. Положением не запрещено совмещение этих функций в одном структурном подразделении, но руководству кредитной организации нужно тщательно продумать организацию их работы и порядок эффективного взаимодействия этих специалистов.

Также в кредитной организации должны быть разработаны критерии оценки рисков, показатели их уровня (для выявления критических рисков), а также шкала, в соответствии с которой определяется общая эффективность СУОР.

Ещё потребуется создать отдельный коллегиальный исполнительный орган, проработать структуру, наладить горизонтальные и вертикальные связи между структурными подразделениями.

СУОР предполагает наличие довольно сложной скоординированной структуры, быстро создать которую с нуля очень сложно. Преобразования, реорганизация, а иногда и реинжиниринг процессов, сопровождающих создание СУОР, занимает несколько лет, успеть за год-полтора способны единицы среди компаний (и только при наличии слаженной мотивированной команды).

Потенциальные риски, группы рисков

Законодатель довольно подробно описывает основные разновидности операционных рисков, с которыми сталкивается кредитная организация при осуществлении своей деятельности. Ведь чтобы предотвратить угрозу, для начала нужно знать о её существовании. Это риски:

  • платёжных систем;
  • ошибок в процессах управления персоналом организации;
  • потерь средств из-за нарушений действующих кодексов со стороны кредитной организации (это могут быть как деньги клиентов, так и финансовые средства контрагентов, сотрудников компании или третьих лиц);
  • модельные;
  • ошибки в управленческих процессах в целом и в управлении проектами в частности;
  • ошибки в организации и реализации внутреннего контроля;
  • правовые;
  • риски ИС и ИБ.

С чего начать оценку рисков? Если описать этот процесс упрощенно, то для каждой группы рисков потребуется выделить:

  • объект риска;
  • источник;
  • тип событий;
  • направление деятельности, с которым связан риск;
  • потенциальные виды потерь.

Для корректной оценки каждую группу рисков, возможно, придется разделить на отдельные позиции и сначала рассматривать каждую из них отдельно.

При выявлении потенциальных видов потерь будет не лишним оценить вероятный ущерб от реализации рисков – этот показатель также повлияет на его критичность. Компания должна проводить количественную и качественную оценку каждого риска, определяя не только масштабы катастрофы, но и вероятность реализации риска. Так, риск с небольшим на первый взгляд ущербом в качестве последствия, но реализующийся часто, по результатам оценки может оказаться более критичным, нежели риск с катастрофическими финансовыми последствиями и вероятностью реализации, близкой к нулю.

Риски определены, систематизированы и оценены?

Это хорошо, так как сделан важный шаг на пути к внедрению СУОР.

Теперь необходимо создать информационной базу, в которой будут учитываться события безопасности, и определить сроки, порядок и ответственных лиц за её постоянную актуализацию. Следует учитывать, что согласно Положения №716-П события, относящиеся к категориям самой инфобезопасности и к системе управления ИБ, оцениваются отдельно и способ может отличаться.

База данных должна содержать сведения и о фактических финансовых потерях, возникших как следствие реализации риска (официально она приводится как разность суммарных потерь и суммы возмещения убытков).

Процедуры

Процедуры, исполнение которых необходимо для соблюдения требований Положения №716-П, должны быть не только разработаны, но и утверждены внутренним нормативным документом финансовой организации. Для функционирования СУОР необходимо выполнять следующие мероприятия:

  • идентифицировать и оценивать риски, структурировать и обновлять необходимые для этого данные;
  • отслеживать события реализации рисков, а также их последствия (в том числе, но не ограничиваясь финансовыми потерями);
  • определять потери и возмещать их. Здесь нужно помнить о том, что потери вследствие реализации риска могут быть как прямыми (отражаются в бухгалтерской отчете) и непрямые (их по данным бухучета отследить и оценить невозможно — к примеру, компания потеряет клиентов, которые перестанут доверять ей из-за неспособности защитить их личные данные или понесенных убытков, потеряет деловую репутацию или будет вынуждена приостановить деятельность);
  • проводить переоценку рисков ежегодно (в случае необходимости, к примеру, при выявлении новой значимой для оценки информации или при обнаружении нового риска, переоценка может производиться чаще);
  • определить способы реагирования на реализацию операционных рисков и внедрить их в организации.

Для обеспечения функционирования СУОР полезным документом станет матрица рисков. Это документ, сложный как по структуре, так и по содержанию. В ней должны быть учтены не только собственно риски, разделенные по группам, но также мероприятия по их управлению, порядок реализации этих мероприятий, сроки, ответственные лица и многое другое.

Разный масштаб — разные требования

Какие именно требования Положения №716-П будут относиться к конкретной кредитной организации, будет зависеть от объема её активов и размера. В целом можно выделить следующие необходимые для внедрения процессы:

  1. выполнение общих положений документа;
  2. осуществление классификации операционных рисков;
  3. ведение информационной базы событий;
  4. ведение учета контрольных показателей;
  5. внедрение управления рисками информационной безопасности;
  6. внедрение управления рисками ИС;
  7. внедрение дополнительных элементов СУОР.
Организация Процессы для внедрения
Небанковская кредитная организация №№1-3 из вышеуказанного списка. Также стоит обратить внимание на ряд отдельных требования к этому типу организаций.
Банки: В зависимости от лицензии и объема активов.
Базовая лицензия №№1-5 из вышеуказанного списка.
Универсальная лицензия и активы до 500 млрд.рублей №№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР не включают в себя её автоматизацию.
Универсальная лицензия и активы до 500 млрд.рублей №№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР включают в себя её автоматизацию.

Выполнение требований Положения №716-П требует от кредитных организаций тщательно проработанного и выверенного подхода к управлению операционными рисками – от их выявления и оценки до разработки превентивных мероприятий и стратегии действий на случай реализации каждого из них.

Создание СУОР – сложный с организационной и методологической точки зрения процесс, требующий привлечения ресурсов, в том числе высококвалифицированного персонала со специализацией в сфере риск-менеджмента.

Поэтому отдать СУОР на аутсорсинг на этапе создания и внедрения системы (полностью или частично, если аналогичная система в кредитной организации уже действует) – разумное решение.

Оценка соответствия
Заказать услугу
Оцените данную статью
Предыдущая статья Предыдущая статья
Следующая статья Следующая статья

Читайте также

Как открыть облачный бизнес в 2024 году
Блог
12.04.2024
Как открыть облачный бизнес в 2024 году
1
ITGLOBAL.COM построила систему коммуникаций для IDEAS4RETAIL на базе Cisco UCM
Железо
17.01.2017
ITGLOBAL.COM построила систему коммуникаций для IDEAS4RETAIL на базе Cisco UCM
1
BNG следующего поколения для интернет-провайдеров
Решения
28.04.2021
BNG следующего поколения для интернет-провайдеров
5

Узнавайте о выходе новых статей в блоге первыми!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies