Новое положение 716-П: для кого и зачем

Положение №716-П Банка России вступило в силу 1 октября 2020 года и становится обязательным к исполнению банковскими и кредитными организациями с 1 января 2022 года. То есть со следующего года все предусмотренные документом процедуры и процессы должны быть реализованы, а кредитная организация обязана работать с соблюдением положений этого нормативного акта. Итак, положение №716-П: о чём оно, деятельность каких организаций регламентирует этот документ и что именно нужно делать, чтобы соответствовать его требованиям? Обо всём – по порядку.

В чем суть

Положение №716-П определяет требования к разработке и внедрению системы управления операционными рисками (или СУОР). Документ содержит перечень рисков, которые законодатели отнесли к числу операционных для кредитных организаций.

Вторая глава документа посвящена собственно требованиям к таким организациям. Следует учитывать, что, в зависимости от некоторых характеристик кредитной организации (в том числе суммы активов), комплексы необходимых к реализации мероприятий могут различаться – нужно внимательно изучить документ, чтобы определить, какие именно положения относятся к каждой конкретной компании. Положение не распространяется на центрального контрагента и центральный депозитарий. Все прочие кредитные организации обязаны исполнять требования документа.

Главное, к чему сводится общая суть Положения – необходимо управлять операционными рисками, для чего потребуется разработать пакет соответствующей внутренней документации и выделить ресурсы для реализации СУОР.

[text_with_btn btn=»ПОДРОБНЕЕ» link=»https://www.itglobal.com/ru-ru/services/info-security/security-analysis/» btn_size=»normal»]Оценка информационной безопасности[/text_with_btn]

Что требуется от кредитных организаций?

На 132 страницах Положения приведена подробная «дорожная карта» с описанием шагов, которые обязана выполнить кредитная организация, чтобы эффективно управлять рисками. Реализация рисков для кредитной организации влечет за собой финансовые убытки. Поэтому в соответствии с Положением кредитная организация должна:

предусмотреть выделение денег на компенсацию ущерба, причиненного клиентам в результате реализации рисков (иначе говоря, выделить капитал на покрытие рисков). Сколько? Определить сумму «страховки» можно по нормативам либо на основании оценки размера потенциальных потерь.
разработать и внедрить эффективную СУОР для контроля операционных рисков, в том числе в части ИС и инфобезопасности.

Внедрение эффективной СУОР предполагает наличие в штате компании специалистов, ответственных за выявление и контроль операционных рисков, в том числе в сфере ИС и ИБ – это специалисты по риск-менеджменту, информационной безопасности и ИТ-специалисты. Положением не запрещено совмещение этих функций в одном структурном подразделении, но руководству кредитной организации нужно тщательно продумать организацию их работы и порядок эффективного взаимодействия этих специалистов.

Также в кредитной организации должны быть разработаны критерии оценки рисков, показатели их уровня (для выявления критических рисков), а также шкала, в соответствии с которой определяется общая эффективность СУОР.

Ещё потребуется создать отдельный коллегиальный исполнительный орган, проработать структуру, наладить горизонтальные и вертикальные связи между структурными подразделениями.

СУОР предполагает наличие довольно сложной скоординированной структуры, быстро создать которую с нуля очень сложно. Преобразования, реорганизация, а иногда и реинжиниринг процессов, сопровождающих создание СУОР, занимает несколько лет, успеть за год-полтора способны единицы среди компаний (и только при наличии слаженной мотивированной команды).

Потенциальные риски, группы рисков

Законодатель довольно подробно описывает основные разновидности операционных рисков, с которыми сталкивается кредитная организация при осуществлении своей деятельности. Ведь чтобы предотвратить угрозу, для начала нужно знать о её существовании. Это риски:

платёжных систем;
ошибок в процессах управления персоналом организации;
потерь средств из-за нарушений действующих кодексов со стороны кредитной организации (это могут быть как деньги клиентов, так и финансовые средства контрагентов, сотрудников компании или третьих лиц);
модельные;
ошибки в управленческих процессах в целом и в управлении проектами в частности;
ошибки в организации и реализации внутреннего контроля;
правовые;
риски ИС и ИБ.

С чего начать оценку рисков? Если описать этот процесс упрощенно, то для каждой группы рисков потребуется выделить:

объект риска;
источник;
тип событий;
направление деятельности, с которым связан риск;
потенциальные виды потерь.

Для корректной оценки каждую группу рисков, возможно, придется разделить на отдельные позиции и сначала рассматривать каждую из них отдельно.

При выявлении потенциальных видов потерь будет не лишним оценить вероятный ущерб от реализации рисков – этот показатель также повлияет на его критичность. Компания должна проводить количественную и качественную оценку каждого риска, определяя не только масштабы катастрофы, но и вероятность реализации риска. Так, риск с небольшим на первый взгляд ущербом в качестве последствия, но реализующийся часто, по результатам оценки может оказаться более критичным, нежели риск с катастрофическими финансовыми последствиями и вероятностью реализации, близкой к нулю.

Риски определены, систематизированы и оценены?

Это хорошо, так как сделан важный шаг на пути к внедрению СУОР.

Теперь необходимо создать информационной базу, в которой будут учитываться события безопасности, и определить сроки, порядок и ответственных лиц за её постоянную актуализацию. Следует учитывать, что согласно Положения №716-П события, относящиеся к категориям самой инфобезопасности и к системе управления ИБ, оцениваются отдельно и способ может отличаться.

База данных должна содержать сведения и о фактических финансовых потерях, возникших как следствие реализации риска (официально она приводится как разность суммарных потерь и суммы возмещения убытков).

Процедуры

Процедуры, исполнение которых необходимо для соблюдения требований Положения №716-П, должны быть не только разработаны, но и утверждены внутренним нормативным документом финансовой организации. Для функционирования СУОР необходимо выполнять следующие мероприятия:

идентифицировать и оценивать риски, структурировать и обновлять необходимые для этого данные;
отслеживать события реализации рисков, а также их последствия (в том числе, но не ограничиваясь финансовыми потерями);
определять потери и возмещать их. Здесь нужно помнить о том, что потери вследствие реализации риска могут быть как прямыми (отражаются в бухгалтерской отчете) и непрямые (их по данным бухучета отследить и оценить невозможно — к примеру, компания потеряет клиентов, которые перестанут доверять ей из-за неспособности защитить их личные данные или понесенных убытков, потеряет деловую репутацию или будет вынуждена приостановить деятельность);
проводить переоценку рисков ежегодно (в случае необходимости, к примеру, при выявлении новой значимой для оценки информации или при обнаружении нового риска, переоценка может производиться чаще);
определить способы реагирования на реализацию операционных рисков и внедрить их в организации.

Для обеспечения функционирования СУОР полезным документом станет матрица рисков. Это документ, сложный как по структуре, так и по содержанию. В ней должны быть учтены не только собственно риски, разделенные по группам, но также мероприятия по их управлению, порядок реализации этих мероприятий, сроки, ответственные лица и многое другое.

Разный масштаб — разные требования

Какие именно требования Положения №716-П будут относиться к конкретной кредитной организации, будет зависеть от объема её активов и размера. В целом можно выделить следующие необходимые для внедрения процессы:

выполнение общих положений документа;
осуществление классификации операционных рисков;
ведение информационной базы событий;
ведение учета контрольных показателей;
внедрение управления рисками информационной безопасности;
внедрение управления рисками ИС;
внедрение дополнительных элементов СУОР.

[table id=»348″ ] [tr][cell th=»on»]Организация[/cell] [cell th=»on»]Процессы для внедрения[/cell][/tr] [tr][cell]Небанковская кредитная организация[/cell] [cell]№№1-3 из вышеуказанного списка. Также стоит обратить внимание на ряд отдельных требования к этому типу организаций. [/cell][/tr] [tr][cell]Банки:[/cell] [cell]В зависимости от лицензии и объема активов.[/cell][/tr] [tr][cell]Базовая лицензия[/cell] [cell]№№1-5 из вышеуказанного списка.[/cell][/tr] [tr][cell]Универсальная лицензия и активы до 500 млрд.рублей[/cell] [cell]№№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР не включают в себя её автоматизацию. [/cell][/tr] [tr][cell]Универсальная лицензия и активы до 500 млрд.рублей[/cell] [cell]№№1-7 из вышеуказанного списка. Внимание: дополнительные элементы СУОР включают в себя её автоматизацию. [/cell][/tr] [/table]

Выполнение требований Положения №716-П требует от кредитных организаций тщательно проработанного и выверенного подхода к управлению операционными рисками – от их выявления и оценки до разработки превентивных мероприятий и стратегии действий на случай реализации каждого из них.

Создание СУОР – сложный с организационной и методологической точки зрения процесс, требующий привлечения ресурсов, в том числе высококвалифицированного персонала со специализацией в сфере риск-менеджмента.

Поэтому отдать СУОР на аутсорсинг на этапе создания и внедрения системы (полностью или частично, если аналогичная система в кредитной организации уже действует) – разумное решение. [text_with_btn btn=»Заказать услугу» link=»https://itglobal.com/ru-ru/services/info-security/conformity-assessment/» btn_size=»small»]Оценка соответствия[/text_with_btn]