Обзор Положения 716-П

В середине 2020 года было опубликовано Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Требования данного нормативного акта призваны создать в кредитной организации (далее — Банк) действенную систему управления рисками, операционными, в частности. Если же система управления рисками в Банке уже существует, то выполнение требований 716-П значительно повысят эффективность службы управления рисками (при её наличии).

716-П описывает следующие процедуры и подходы в рамках системы управления операционным риском в Банке:

• процедуры выявления риск-событий;
• процедуры классификации событий операционного риска;
• порядок ведения базы событий, включая требования к форме и содержанию вводимой информации;
• фиксацию событий операционного риска в базе событий;
• порядок установления и контроля соблюдения контрольных показателей уровня операционного риска;
• подходы к расчету объема капитала, выделяемого Банком на покрытие потерь от реализации событий операционного риска;
• процедуры уменьшения негативного влияния операционного риска;
• перечень риск-событий информационной безопасности;

В Положении Банка России № 716-П содержатся требования по:

• проведению в Банке ежегодной самооценки операционного риска;
• проведению в Банке ежегодной оценки эффективности функционирования системы управления операционным риском;
• проведению в Банке ежегодного анализа необходимости пересмотра требований политики управления операционным риском;
• формированию в Банке плановых (целевых) показателей уровня операционного риска в разрезе направлений деятельности;
• формированию в Банке отчетов по операционным рискам;
• формированию в Банке ежеквартальных отчетов о событиях риска информационной безопасности;
• хранению в Банке внутренней отчетности по операционным рискам.

Роли, задействованные в системе управления операционными рисками.

716-П выделяет несколько ролей, задействованных в системе управления операционными рисками:

• ответственные за ведение базы событий;
• предоставляющие информацию для базы событий;
• определяющие потери от реализации событий операционного риска, занесенные в базу событий;
• контролирующие полноту информации в базе событий и сверку счетов бухгалтерского учета с информацией, отраженной в базе событий.

Также 716-П обязывает Банк на создание центров компетенций, в функции которых входит идентификация операционного риска, сбор информации и информирование о выявленном операционном риске службу управления рисками (при её наличии), подразделения Банка, в котором выявлен операционный риск. Также центры компетенций должны проводить оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах.

Процедуры управления рисками информационной безопасности (ИБ).

В рамках 716-П система управления рисками ИБ состоит из деятельности по разработке внутренней нормативной документации в направлении управления рисками ИБ, включая разработку Политики ИБ Банка, порядок управления риском информационной безопасности, а также технических процедур управления рисками ИБ.

В рамках организационных процедур управления рисками ИБ, Банк:

• фиксирует в базе событий инциденты, приведшие к фактической реализации риска информационной безопасности;
• обеспечивает выявление, регистрацию и учет риск-событий информационной безопасности с определением всех элементов классификации;
• осуществляет выявление и идентификацию риска информационной безопасности, а также его оценку (установление ключевых индикаторов риска);
• осуществляет ведение базы событий риска информационной безопасности.

Банк, при установлении и контроле уровня ключевых индикаторов риска, должен проводить анализ статистики риск-событий операционного риска, контролировать выполнение мероприятий, процедур и мер по управлению операционным риском в соответствии с 716-П. Также Банк должен соблюдать порядок формирования и сроки ежеквартальных и годовых отчетов.

Технические процедуры управления рисками ИБ, Банк:

• проводит ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с требованиями 683-П;
• проводит независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации в соответствии с требованиями 683-П.

В рамках управления рисками ИБ служба ИБ формирует следующие отчеты по рискам информационной безопасности:

• отчеты в соответствии с требованиями 382-П;
• сводные отчеты должностному лицу, ответственному за обеспечение ИБ (куратору), и правлению Банка.

В рамках управления рисками ИБ служба ИБ проводит регулярную, но не реже одного раза в год, независимую оценку соблюдения требований 716-П.

Процедуры управления рисками информационных систем (ИС)

Организационные процедуры управления рисками ИС:

• определяет во внутренних документах порядок управления риском информационных систем;
• определяет во внутренних документах процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах;
• определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры;
• назначает должностное лицо, ответственное за информационные системы, не реже одного раза в год проводит анализ необходимости пересмотра требований политики информационных систем;
• определяет во внутренних документах методику и порядок обеспечения качества данных в информационных системах;
  определяет подразделение, ответственное за обеспечение функционирования информационных систем, не реже одного раза в год проводит анализ необходимости пересмотра
• требований к информационным системам;
• проводит регулярную независимую оценку соблюдения требований № 716-П;
• определяет подразделение, ответственное за обеспечение непрерывности функционирования информационных систем;
• определяет должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации;
• проводит самооценку рисков информационных систем в разрезе процессов с учетом требований Положения № 716-П и направляет отчеты по результатам самооценки в СУР (служба управления рисков)
• определяет подразделение, ответственное за предоставление отчетов по риску информационных систем.

Технические процедуры управления рисками ИС:

• обеспечивает проведение регулярного резервного копирования данных критически важных процессов, включая резервирование технических средств, размещенных в альтернативных основным техническим средствам помещениям.
• проводит регулярную оценку состава компонентов информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности;
• проведение ежегодного тестирования уязвимостей информационных систем.

Выделение в 716-П глав об управлении рисками ИБ и ИС свидетельствуют о том, что теперь данные риски являются частью операционных рисков, что напрямую связано с расчетами и выделением достаточности капитала. В связи с этим фактом, значимость служб ИБ и ИТ в Банке значительно возрастает. Службы ИБ и ИТ теперь напрямую влияют на возможность реализации риск-события, от которых Банк будет нести финансовые потери и, в последствии, влиять на коэффициенты, связанные с расчётом резервного капитала, выделяемого на покрытие рисков.

В рамках внутреннего контроля Банк должен проводить независимую оценку информация о событиях операционного риска в базе событий, соблюдения требований 716-П.

В соответствии с п. 10.2. Положения Банка России № 716-П от 08.04.2020 Система управления операционным риском подлежит приведению в соответствие с требованиями настоящего Положения кредитными организациями (головными кредитными организациями банковской группы), в срок до 1 января 2022 года.