Обзор Положения 716-П
16 Ноя 2020
В середине 2020 года было опубликовано Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Требования данного нормативного акта призваны создать в кредитной организации (далее — Банк) действенную систему управления рисками, операционными, в частности. Если же система управления рисками в Банке уже существует, то выполнение требований 716-П значительно повысят эффективность службы управления рисками (при её наличии).
716-П описывает следующие процедуры и подходы в рамках системы управления операционным риском в Банке:
- процедуры выявления риск-событий;
- процедуры классификации событий операционного риска;
- порядок ведения базы событий, включая требования к форме и содержанию вводимой информации;
- фиксацию событий операционного риска в базе событий;
- порядок установления и контроля соблюдения контрольных показателей уровня операционного риска;
- подходы к расчету объема капитала, выделяемого Банком на покрытие потерь от реализации событий операционного риска;
- процедуры уменьшения негативного влияния операционного риска;
- перечень риск-событий информационной безопасности;
В Положении Банка России № 716-П содержатся требования по:
- проведению в Банке ежегодной самооценки операционного риска;
- проведению в Банке ежегодной оценки эффективности функционирования системы управления операционным риском;
- проведению в Банке ежегодного анализа необходимости пересмотра требований политики управления операционным риском;
- формированию в Банке плановых (целевых) показателей уровня операционного риска в разрезе направлений деятельности;
- формированию в Банке отчетов по операционным рискам;
- формированию в Банке ежеквартальных отчетов о событиях риска информационной безопасности;
- хранению в Банке внутренней отчетности по операционным рискам.
Роли, задействованные в системе управления операционными рисками.
716-П выделяет несколько ролей, задействованных в системе управления операционными рисками:
- ответственные за ведение базы событий;
- предоставляющие информацию для базы событий;
- определяющие потери от реализации событий операционного риска, занесенные в базу событий;
- контролирующие полноту информации в базе событий и сверку счетов бухгалтерского учета с информацией, отраженной в базе событий.
Также 716-П обязывает Банк на создание центров компетенций, в функции которых входит идентификация операционного риска, сбор информации и информирование о выявленном операционном риске службу управления рисками (при её наличии), подразделения Банка, в котором выявлен операционный риск. Также центры компетенций должны проводить оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах.
Процедуры управления рисками информационной безопасности (ИБ).
В рамках 716-П система управления рисками ИБ состоит из деятельности по разработке внутренней нормативной документации в направлении управления рисками ИБ, включая разработку Политики ИБ Банка, порядок управления риском информационной безопасности, а также технических процедур управления рисками ИБ.
В рамках организационных процедур управления рисками ИБ, Банк:
- фиксирует в базе событий инциденты, приведшие к фактической реализации риска информационной безопасности;
- обеспечивает выявление, регистрацию и учет риск-событий информационной безопасности с определением всех элементов классификации;
- осуществляет выявление и идентификацию риска информационной безопасности, а также его оценку (установление ключевых индикаторов риска);
- осуществляет ведение базы событий риска информационной безопасности.
Банк, при установлении и контроле уровня ключевых индикаторов риска, должен проводить анализ статистики риск-событий операционного риска, контролировать выполнение мероприятий, процедур и мер по управлению операционным риском в соответствии с 716-П. Также Банк должен соблюдать порядок формирования и сроки ежеквартальных и годовых отчетов.
Технические процедуры управления рисками ИБ, Банк:
- проводит ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с требованиями 683-П;
- проводит независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации в соответствии с требованиями 683-П.
В рамках управления рисками ИБ служба ИБ формирует следующие отчеты по рискам информационной безопасности:
- отчеты в соответствии с требованиями 382-П;
- сводные отчеты должностному лицу, ответственному за обеспечение ИБ (куратору), и правлению Банка.
В рамках управления рисками ИБ служба ИБ проводит регулярную, но не реже одного раза в год, независимую оценку соблюдения требований 716-П.
Процедуры управления рисками информационных систем (ИС)
Организационные процедуры управления рисками ИС:
- определяет во внутренних документах порядок управления риском информационных систем;
- определяет во внутренних документах процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах;
- определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры;
- назначает должностное лицо, ответственное за информационные системы, не реже одного раза в год проводит анализ необходимости пересмотра требований политики информационных систем;
- определяет во внутренних документах методику и порядок обеспечения качества данных в информационных системах;
определяет подразделение, ответственное за обеспечение функционирования информационных систем, не реже одного раза в год проводит анализ необходимости пересмотра - требований к информационным системам;
- проводит регулярную независимую оценку соблюдения требований № 716-П;
- определяет подразделение, ответственное за обеспечение непрерывности функционирования информационных систем;
- определяет должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации;
- проводит самооценку рисков информационных систем в разрезе процессов с учетом требований Положения № 716-П и направляет отчеты по результатам самооценки в СУР (служба управления рисков)
- определяет подразделение, ответственное за предоставление отчетов по риску информационных систем.
Технические процедуры управления рисками ИС:
- обеспечивает проведение регулярного резервного копирования данных критически важных процессов, включая резервирование технических средств, размещенных в альтернативных основным техническим средствам помещениям.
- проводит регулярную оценку состава компонентов информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности;
- проведение ежегодного тестирования уязвимостей информационных систем.
Выделение в 716-П глав об управлении рисками ИБ и ИС свидетельствуют о том, что теперь данные риски являются частью операционных рисков, что напрямую связано с расчетами и выделением достаточности капитала. В связи с этим фактом, значимость служб ИБ и ИТ в Банке значительно возрастает. Службы ИБ и ИТ теперь напрямую влияют на возможность реализации риск-события, от которых Банк будет нести финансовые потери и, в последствии, влиять на коэффициенты, связанные с расчётом резервного капитала, выделяемого на покрытие рисков.
В рамках внутреннего контроля Банк должен проводить независимую оценку информация о событиях операционного риска в базе событий, соблюдения требований 716-П.
В соответствии с п. 10.2. Положения Банка России № 716-П от 08.04.2020 Система управления операционным риском подлежит приведению в соответствие с требованиями настоящего Положения кредитными организациями (головными кредитными организациями банковской группы), в срок до 1 января 2022 года.
Услуги для Вас
Аудит по 716-П
Обследование системы управления операционными рисками и процессов в соответствии с Положением 716-П
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
Подробнее