Обследование системы управления операционными рисками и процессов в соответствии с Положением 716-П
Аудит существующей системы управления операционными рисками на соответствие Положению Банка России от 8 апреля 2020 г. N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее 716П) необходимо проводить банковским кредитным организациям с универсальной, базовой лицензией, и небанковским кредитным организациям.
Заказать услуги по оценке соответствия по 716-ПТребования Центробанка при проведении аудита по 716-П
Аудит существующей системы управления операционными рисками на соответствие Положению Банка России от 8 апреля 2020 г. N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее 716П) необходимо проводить банковским кредитным организациям с универсальной, базовой лицензией, и небанковским кредитным организациям.
Формат проведения работ
Работы проводятся в дистанционном формате на основании предоставленной документации и интервью. В частном случае, возможен выезд.
Для построения системы управления операционными рисками, соответствующей требованиям Банка России необходимо проанализировать:
- Положения действующей системы управления операционными рисками;
- Процессы (продуктивные и вспомогательные) для выявления и классификации актуальных операционных рисков.
В системе управления рисками в обязательном порядке анализируются:
- Перечень и классификация операционных рисков;
- Наличие ответственных подразделений и сотрудников;
- Ведение базы событий операционного риска;
- Определение контрольных и сигнальных значений;
- Управление рисками информационной безопасности;
- Управление рисками информационных систем;
- Совершенствование системы управления операционными рисками.
Анализ системы управления операционными рисками проводится в форме ознакомления с документами, регламентирующими систему управления операционными рисками, а также интервьюирования лиц, ответственных за реализацию управления рисками.
Анализ процессов необходим для выделения наиболее актуальных для Заказчика рисков и включает в себя:
- Идентификацию процессов (посредством интервью и анализа локальной документации, а также финансовой отчетности);
- Классификацию процессов по степени критичности;
- Выделение рисков, актуальных для каждого из критичных процессов.
Для каждого процесса выделяются и анализируются:
- Тип процесса (продуктивный, вспомогательный, управленческий, иной);
- Степень критичности процесса;
- Подразделения, задействованные в процессе;
- Возможные последствия нарушения либо деградации процесса;
- Операционные риски, влияющие на процесс.
Отчетная документация
Отчет, содержащий экспертную оценку степени соответствия системы управления рисками требованиям Банка России. В отчет также вносится классифицированный перечень процессов, для которых необходимо применение системы управления операционным риском.
Обоснование и рекомендации по соответствию требований 716-П Разработка организационно-распорядительной документации для приведения системы управления рисками в соответствие с требованиями 716П
В ходе этапа проводятся следующие работы:
Поскольку большая часть требований Банка России реализуется организационными мерами, для их внедрения требуется набор организационно-распорядительной документации.
Набор документации определяется по результатам обследования системы управления операционными рисками и процессов, и, как правило, включает в себя следующие документы:
- Политика управления операционным риском (общие положения);
- Регламент идентификации операционных рисков (учет направлений рисков, правила классификации);
- Регламент сбора и регистрации событий и потерь (в том числе IT и ИБ, содержит порядок классификации событий);
- Регламент ведения базы событий операционных рисков (в том числе IT и ИБ, содержит порядок учета событий, возмещений, ответственность сотрудников (может быть разделом предыдущего документа);
- Регламент определения и возмещения потерь (порядок расчета потерь от различных видов риска, порядок возмещения потерь может быть описан только верхнеуровнево (подача искового заявления, списание убытка, и т. п.);
- Регламент самооценки качественного и количественного уровня операционного риска (процедуры оценки рисков);
- Регламент реагирования на операционные риски (порядок обработки новых рисков, изменения работы со старыми, изменившими свою оценку);
- Классификатор операционных рисков (в том числе IT и ИБ, содержит структурированный перечень рисков, плановых, контрольных и сигнальных показателей, качественная и количественная оценка уровня операционного риска);
- Классификатор процессов организации (структурированный перечень с указанием критичности, зависимостей функционирования и влияния не функционирование банка);
- Регламент совершенствования системы управления операционными рисками (в том числе IT и ИБ, содержит порядок, процедуры и ответственность);
- Регламент контроля системы управления операционными рисками (в том числе IT и ИБ, содержит периодичность, порядок, формы отчетных документов);
- Политика вовлечения работников в систему управления операционными рисками (финансовые и нефинансовые способы мотивации, программа обучения персонала);
- Инструкция по работе с информационной системой управления операционными рисками (при наличии таковой – для различных подразделений);
- Регламент оценки эффективности системы управления риском (в том числе IT и ИБ, содержит порядок проведения оценки, критерии, шаблон отчета);
- Политика безопасности информационных систем (качество сервиса, допустимые отступления, применяемые технологии);
- План обеспечения непрерывности деятельности (как правило, осуществляется модификация существующего документа).
Точный перечень документов определяется по результатам обследования системы управления операционными рисками и процессов в зависимости от имеющихся документов и применяемых технологий в области оценки.
Основные нормативные документы
- Указание Банка России от 15.04.2015 № 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы» (вместе с «Требованиями к организации процедур управления отдельными видами рисков»)
- Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»
- Федеральный закон от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»
- Положение Банка России от 8 апреля 2020 г. N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
- Положение Банка России от 3 сентября 2018 г. N 652-П «О порядке расчета размера операционного риска»
- Инструкция Банка России от 29 ноября 2019 г. N 199-И «Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальной лицензией»
Курихин Андрей Валерьевич
Технический писатель
Профессиональный опыт в сфере информационных технологий с 2009 года
Какой порядок корректировки значений потерь и возмещения в базе событий в зависимости от периода учета данных потерь и возмещения?
Информация о суммах потерь и возмещений обновляется в базе событий, вне зависимости от периода учета, по мере ее поступления при условии обеспечения сохранности предыдущих значений.
Какие подразделения кредитной организации наиболее полно отвечают критериям специализированного подразделения по управлению модельным риском?
Кредитная организация самостоятельно определяет подразделение или несколько подразделений, ответственное (ответственных) за управление модельным риском в зависимости от характера и масштабов деятельности.
Считаются ли ключевые индикаторы риска лимитами операционного риска?
КИР не являются лимитами риска. К указанным лимитам операционного риска могут быть отнесены плановые (целевые) показатели уровня операционных рисков, соотнесенных с плановыми (целевыми) объемами операций, подверженных операционным рискам.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по оценке соответствия по 716-П
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
Аудит по 716-ПОбследование системы управления операционными рисками и процессов в соответствии с Положением 716-П |
от 300 000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Оценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееОценка соответствия по 672-П (747-П)
Оценка соответствия требованиям Положения Банка России №672-П (747-П)
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееВыполнение требований SWIFT
Услуга по выполнению требований SWIFT (помощь в проведении самоаттестации, независимая экспертиза результатов самоаттестации)
ПодробнееОценка соответствия по 757-П (684-П)
Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)
Подробнее