Обзор изменений 716-П

На сайте Центрального Банка Российской Федерации были опубликованы Указания 6103-У от 25.03.2002 «О внесении изменений в Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее —Указания). Данные Указания зарегистрированы Минюстом РФ 30 августа 2022 года.

Основные изменения

Основные изменения касаются:

• введения риска операционной надежности;
• риск нарушения непрерывности деятельности;
• вводятся технологические процессы вместо обеспечивающих процессов;
• применение моделирования угроз;
• изменения в критически важные процессы;
• требования к информационным системам третьих лиц, задействованных в обеспечении процессов;
• разграничение полномочий подразделений ответственных за обеспечение информационной безопасности и информационных систем;
• вводятся требования по предоставлению отчетов о результатах оценки;
• изменение уровня контрольных и сигнальных значений;
• оценка эффективности процессов предотвращения неподтверждённых переводов средств клиентов-физических лиц;
• качественных и контрольных показателей.

Также для банковских кредитных организаций с универсальной и базовой лицензией вводятся дополнительные требования по методике, порядку и оценке управления операционными рисками. В Указаниях вводится взаимосвязь с другими документами, касающихся операционных рисков: 161 ФЗ, 683-П, 719-П, 744-П, ГОСТ 57580.1-2017, ГОСТ 57580.2-2018.

Вводятся дополнения по количественной оценке риска, ее предлагается проводить используя сценарный анализ, на основе статистических данных базы событий операционного риска в разрезе направлений деятельности и процессов. По качественной оценке предлагается использовать моделирования угроз. Данное нововведение потребует разработать во внутренних документах методику моделирования угроз и порядок качественной оценки негативного влияния.

По порядку об изменениях

Пункт 3.13.2

В данном пункте предлагается использовать четырехуровневую шкалу: «очень высокие», «высокие», «средние», «низкие». К агрегированной оценке рисков дается пояснение, что она применяется, если кредитная организация использует методы количественной оценки потерь от реализации операционного риска, продвинутый подход. Еще одним дополнением, по качественной оценке, является то, что при составлении плана мероприятий по проведению качественной оценки внимание уделяется наиболее критически важным процессам и тем процессам, по которым наблюдался на протяжении последних двух лет высокий и очень высокий уровни риска.

Таким образом, кредитным организациям при составлении плана мероприятий по проведению качественной оценки, рекомендуется составить карту (матрицу) рисков по критериям важности процессов и вероятности наступления рискового события, в соответствии с практикой и теорией риск-менеджмента.

В целях моделирования угроз реализации операционного риска и оценки негативного влияния для всех процессов предлагается также учитывать факторы влияния других процессов, и/или информационных систем, а также участие третьих лиц (подрядчики, контрагенты и участники банковской группы). Вводится классификация данного фактора операционного риска, как «зависимость процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы)».

Пункт 3.10

Здесь дается пояснение, что при классификации операционных рисков в базе событий, которые относятся к нескольким направлениям деятельности, организация указывает все направления деятельности первого уровня, при этом определяет наиболее значимое направление. Данное дополнение позволяет вести базу событий более эффективно для процесса оценки и анализа операционных рисков, которые влияют на несколько направлений деятельности. Кредитным организациям придется настроить процесс ведения базы событий операционных рисков и формирования отчетов.

Также вводится дополнения касательно прямых потерь. В соответствии с Указанием, денежные выплаты (прямая потеря) во внесудебном порядке, в качестве компенсации от операционных рисков, возможны не только для клиентов и контрагентов, но и для работников кредитных организаций и третьих лиц. Дается дополнительная классификация. Кроме работников, в нее теперь входят и третьи лица, клиенты и контрагенты, в виде физических лиц, индивидуальные предприниматели, лица, занимающиеся частной практикой, и юридические лица. Такая же классификация относится и к потенциальным потерям.

Стоит отметить, что к качественным потерям отнесено нарушение операционной устойчивости в результате события операционного риска в результате сбоя систем и оборудования. В качестве дополнительных элементов системы управления операционными рисками вводится понятие технологических процессов. Подчеркнем, что в документах ЦБ РФ 787-П и 779-П, касающихся операционной надежности, также определены технологические процессы.

В комплексе мероприятий по повышению качества управления операционными рисками выстраиваются требования по поддержанию операционной надежности к третьим лицам, выполняющим критически важные процессы и функционирование информационных систем. При этом определяются риски событий нарушения непрерывности деятельности. Так выстраивается взаимосвязь между операционной надежностью и операционными рисками. При этом из классификации процессов по уровню критичности убираются обеспечивающие процессы.

Раздел 4.3

В раздел 4.3 вносятся дополнения по требованиям к кредитным организациям по выявлению и учету взаимосвязи между критически важными процессами, работниками, информационными системами и информацией, с учетом зависимости от третьих лиц, задействованных в выполнении функций в критически важных процессах. Стоит отметить, что в первоначальном проекте изменений предполагалось введение риска аутсорсинга, но в вышедших изменениях данный риск не был введен. При этом внимание к участию третьих лиц в деятельности кредитных организаций достаточно высоко. Также требуется осуществлять мониторинг изменения взаимосвязей.

Введенный пункт 4.3.4 определяет требования к управлению операционными рисками при внесении изменений в критически важные процессы и/или в информационные системы, используемые при выполнении этих процессов. В частности, требуется установить требования по выявлению и оценке операционных рисков, оценку влияния изменений, учет и мониторинг, планирование и контроль определения функций подразделениям, которые или выполняют новые процессы, которые ранее не выполнялись, или участвуют в изменении критически важных процессов. Требования по выполнению введенных пунктов 4.3.3 и 4.3.4 теперь становятся обязательными для кредитных организаций с универсальной банковской лицензией и активами менее 500 млрд рублей.

В изменениях касательно утверждения контрольных и сигнальных значений показателей уровня операционного риска кредитная организации обязана утвердить орган управления кредитной организацией, который будет утверждать указанные значения. На данный момент в большинстве кредитных организаций такую роль выполнял совет директоров. Данное дополнение позволит сократить срок утверждения сигнальных и контрольных значений, а также повысить эффективность принимаемых решений. Таким образом ответственный за утверждение значений будет более компетентен в системе управления операционными рисками.

Глава 6

Указание вводит корректировки в главу 6 по ведению базы событий операционных рисков. В изначальной версии 716-П был ряд неясностей по ее заполнению, что в свою очередь вело к неточному толкованию данных базы событий. Изменения 716-П в ведении базы событий основаны на вопросах от кредитных организаций и ответы на них ЦБ РФ. Также в Указаниях установлены изменения, касающиеся рисков информационной безопасности. Ключевым документом при определении требованиям защиты информации становится не 382-П, а более актуальный 719-П.

Раздел 7.7

Вследствие этого в раздел 7.7 вносятся пояснения, касающиеся функционирования и обеспечения информационной безопасности. В частности, во внутренних документах должно быть определено проведение мониторинга риска ИБ и обеспечение осведомленности кредитной организации и участников технологических процессов об актуальных угрозах безопасности информации. Также ответственный за функционирование системы обеспечения информационной безопасности напрямую подчиняется лицу, которое осуществляет функции единоличного исполнительного органа кредитной организации и не может подчиняться его заместителю.

Заметно, что дается определению внутреннего нарушителя, являющегося работником кредитной организации или третьим лицом, обладающим полномочиями по доступу к объекту информационной инфраструктуры кредитной организации. В пункте 2.2 Приложения 5 Положения 716-П было описано, что относится к действиям внутреннего нарушителя, но не было описания того, кто является внутренним нарушителем. Таким образом данное пояснение соотносится с документом ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Касательно служб информационной безопасности, то с них снимается функция по оценке эффективности управления риском информационной безопасности. В то же время со служб ИБ снимается необходимость выполнения специализированных отчетов по 382-П, так как данный документ утратил свою силу.

Касательно изменений в управлении операционными рисками информационной системы, следует отметить, что ответственные за функционирование информационной системы не должны быть ответственны за функционирование информационной безопасности. В рамках системы управления операционными рисками предполагается в политике ИС разграничить ответственных за риски ИБ и ИС в целях регламентирования зон ответственности. В соответствии с Изменениями во внутренних документах устанавливаются требования к перечню информационных систем, обеспечивающих функционирование процессов, в виде описания архитектуры и состав элементов ИС, а именно самих информационных систем, задействованных в процессах; структуру информационного обмена между элементами; подразделения, работников и третьих лиц, являющихся пользователями и/ или обеспечивающие функционирование ИС.

Важным моментом является нововведение, что теперь в документах кредитная организация должна указывать информационные системы, их элементы и структуру информационного обмена третьих лиц, участвующих в обеспечении процессов кредитных организаций. При этом, если данная информация не будет представлена во внутренних документах, то должно быть обоснование почему данная информация отсутствует при обосновании заключении договора и критерием аутсорсинга на работу с ИС банка третьих лиц, и учитываться при оценке уровня риска информационных систем. Исходя из этого можно сделать вывод, что при заключении договора с третьими лицами в качестве пользователей и/ или обеспечивающих функционирование ИС, должно быть требования к их информационной системе, задействованных в процессах кредитной организации, и она также должна быть описана.

Требования к выполнению

В Изменениях определяются новые требования по выполнению 716-П. Для банков с универсальной лицензией и активами как более, так и менее 500 млрд рублей дополняются требования по методике, порядку и критериям проведения сценарного анализа. Для банков с универсальной лицензией и активами менее 500 млрд рублей добавляются требования к указанию во внутренних документах способа идентификации операционного риска «анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени».

Также добавляются требования по оценке ожидаемых потерь от реализации операционных рисков в разрезе процессов на основе статистических данных в базе событий в целях покрытия ожидаемых потерь. При этом снимается необходимость использования агрегированной оценки операционных рисков, если используется продвинутый подход. Эти два изменения относятся и к банкам с базовой лицензией.

Весомые изменения по управлению операционными рисками для банков с базовой лицензией. Теперь к данным организациям указываются требования по качественной оценке рисков в виде моделирования угроз, включая анализ потенциальных источников операционного риска и возможных потерь. Для небанковских кредитных организаций дополнительных требований не предъявляются.

Контрольные показатели

Указания значительно повлияли на изменения контрольных показателей уровня операционного риска, изложенных в Приложении 1 Положения 716-П. Стоит обратить внимание, что изменения основываются на применение 744-П в виде определения и унификации показателей. Данное изменение позволит систематизировать работу по определению показателей и формированию отчетности в части операционных рисков. Даются пояснения по определению некоторых количественных контрольных показателей. Например, вместо общих валовых потерь от операционного риска в новой редакции определяются как чистые валовые потери, а также дается конкретика при учете потерь от рисков информационной безопасности в виде чистых прямых.

В предыдущей версии 716-П, при оценке эффективности функционирования системы управления операционными рисками учитывалась доля событий, чьи показатели превышали порог регистрации, без учета потерь от реализации кредитных рисков, связанных с операционными рисками. В новой редакции потери от реализации кредитных рисков также учитываются в расчет валовых прямых потерь и учитываются при оценке эффективности.

В Приложении 1 вводятся требования по количественным контрольным показателя информационной безопасности. Особое внимание обращается на показатели, связанные с переводом денежных средств без согласия клиента. Например, сигнальные значения по доле таких переводов к общей сумме всех переводов фиксируется на уровне менее 0,002 процента вместо действующих 0,005 процента. Также вводятся показатели, которые учитывают требования 161 ФЗ, в частности части 5 статьи 8 об удостоверении перевода клиентом. Данное требования количественных контрольных показателей должно направить внимание служб информационной безопасности кредитных организаций на управление процессами предотвращения неподтверждённых переводов средств клиентов-физических лиц в соответствии с 161 ФЗ.

При расчете количественных контрольных показателей для кредитных организаций является учет оценки уровня защиты информации в отношении процессов 1 «Обеспечение защиты информации при управлении доступом» и 5 «Предотвращение утечки информации» ГОСТ 57580.1-2017 и проведенной в соответствии методики по ГОСТ 57580.2-2018. Контрольные значения должны быть не менее 0,85, а сигнальные — не менее 0,9. Также вводится показатель по оценке выполнения 683-П, 719-П, 747-П, выполненных в соответствии с методикой ГОСТ 57580.2-2018.

Качественным контрольным показателем остается только оценка эффективности функционирования системы управления риском информационной безопасности, проведенная уполномоченным подразделением и/ или внешним экспертом. Ранее определенные в существовавшей редакции качественные контрольные показатели в виде оценки соблюдения требований 382-П, 683-П, 672-П не требуется. Также кредитные организации должны проинформировать Банк России, в соответствии с 683-П, о событиях операционного риска информационной безопасности, которые привели к валовым прямым потерям, а не сообщать в отчетах, в соответствии с 683-П.

Введение данных изменений позволит потенциально повысить эффективность работы банковских кредитных организаций и уточнить аспекты в сфере управления операционными рисками.