Как известно, Банк России готовит к выходу положение «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». В этой статье мы подробно разберем требования Центрального банка к управлению операционным риском.

После прохождения общественного обсуждения и внесения корректировок, ЦБ РФ опубликовал проект постановления на своем сайте. Предполагается, что положение вступит в силу уже в 2019 году (подробнее см. Глава 10. Заключительные положения).

. Скачать проект постановления можно здесь.

Положение разрабатывается для постепенного внедрения подхода Basel III в целях расчета нормативов достаточности капитала кредитных организаций и является первым нормативным актом Банка по данному вопросу.

Основные положения, которые устанавливает постановление:

  • классификация рисков
  • риски информационной безопасности, и так называемый киберриск
  • требования к базе событий операционного риска
  • требования к отчетности по операционному риску
  • требования к политикам в области ИТ
  • требования к капиталу, необходимому для покрытия потерь от реализации операционного риска

Давайте разберем, какие требования должны быть реализованы банками и кредитными организациями, с вступлением данного постановления в силу.

Постановление содержит следующие основные главы и приложения:

Краткая выдержка самых главных требований документа по его разделам приведена ниже.

Глава 1. Общие положения

Глава раскрывает цель документа — это основной документ, устанавливающий требования к управлению операционным риском. Кредитные организации должны организовывать собственную систему управления операционным риском с соблюдением требований настоящего Положения и Указания Банка России №3624-У.

По версии Банка России система управления операционным риском включает в себя следующие компоненты:

  • процедуры управления операционным риском
  • классификаторы системы управления операционным риском
  • база событий, содержащая информацию о событиях операционного риска и потерях от всех видов операционного риска
  • контрольные показатели кредитной организации;
  • система мер, направленная на повышение качества системы управления операционным риском и снижение негативного влияния операционного риска
  • подразделения по организации управления операционным риском
  • специализированные подразделения, которые выполняют процедуры управления операционным риском
  • автоматизированная информационная система, обеспечивающая функционирование как в целом системы управления операционным риском, так и отдельных ее элементов, в том числе базы событий, с обеспечением сохранности и защиты данных от искажений информации.

Требование к наличию автоматизированной информационной системы по управлению рисками — одно из наиболее важных требований Положения.

Устанавливаются единые виды рисков, к которым применятся процедуры управления:

  • риск информационной безопасности;
  • риск информационных систем;
  • правовой риск;
  • риск ошибок в управлении проектами (проектный риск по причине операционного риска);
  • риск ошибок и недостатков управленческих процессов (управленческий риск по причине операционного риска);
  • риск нарушения процедур контроля;
  • модельный риск, связанный с реализацией операционного риска;
  • риск потерь клиентов, контрагентов и третьих лиц вследствие нарушения норм взаимодействия с клиентами и рыночных практик (риск поведения);
  • риск ошибок и недостатков процесса управления персоналом (риск персонала);
  • другие виды операционного риска.

Кратко описываются процедуры регламентирующие управление операционным риском в кредитных организациях.

Глава 2. Элементы классификации событий операционного риска, используемые в системе управления операционным риском

Описывается необходимость создания единого классификатора системы управления операционным риском, содержащего следующие элементы:

  • источники риска
  • типы событий
  • направления деятельности (разрезе составляющих их банковских процессов)
  • виды потерь.

Внутренний классификатор ежемесячно соотноcится с классификатором, установленным требованиями Положения.

Источники операционного риска по требованиям Банка России делятся на следующие основные категории:

  • ошибки и недостатки процессов
  • действия персонала
  • сбои систем
  • внешние факторы

Каждая из категорий внутри делится на подкатегории, по требованиям Банка классификация источников риска должна быть многоуровневой. Каждому событию операционного риска ставится в соответствие один или несколько источников риска, все они фиксируются в базе событий. При этом экспертным методом определяется один, наиболее значимый, источник риска.

Типы событий операционного риска делятся на следующие виды:

  • неразрешенные действия персонала
  • преднамеренные действия третьих лиц
  • нарушения кадровой политики и безопасности труда
  • нарушения прав клиентов и контрагентов
  • ущерб материальным (физическим) активам
  • нарушения функционирования и сбои ИС
  • нарушения организации, исполнения и управления процессами

Кредитной организации необходимо расширить указанный список как минимум до двух уровней типа событий операционного риска. В Приложении №1 приведена классификация событий операционного риска второго уровня.

Направления деятельности, в разрезе которых классифицируется операционные риск, следующие:

  • корпоративное финансирование
  • операции и сделки на финансовом рынке
  • розничное банковское обслуживание
  • коммерческое банковское обслуживание корпоративных клиентов
  • осуществление переводов денежных средств, платежей и расчетов, в которых кредитная организация выступает как клиент либо контрагент
  • агентские услуги и депозитарные услуги
  • управление активами
  • розничное брокерское обслуживание
  • обеспечение деятельности кредитной организации

Кредитной организации необходимо расширить указанный список как минимум до двух уровней направлений деятельности.

Виды потерь от реализации операционного риска:

  • Прямые потери
  • Непрямые потери — косвенные и качественные.
  • Потери (в том числе хищения) средств клиентов и третьих лиц, которые не были компенсированы кредитной организацией

В Положении приведена подробная классификация видов потерь.

Глава 3. Требования к процедурам управления операционным риском

Третья глава Положения определяет требования к процедурам управления операционным риском в банках, в частности:

  • Процедура выявления и идентификации операционного риска
  • Процедура оценки операционного риска и корректного учета связи идентифицированных операционных рисков с событиями операционного риска в базе событий
  • Процедура сбора и регистрации информации о внутренних событиях операционного риска (автоматизированная или ручная, если автоматизированная невозможна)
  • Процедура определения потерь и возмещений от событий операционного риска
  • Процедура количественной оценки уровня операционного риска
  • Процедура качественной оценки уровня операционного риска
  • Процедура выбора и применения способа реагирования на операционный риск
  • Разработка мер реагирования
  • Процедура мониторинга операционного риска

Глава 4. Требования к элементам системы управления операционным риском

В четвертой главе описаны дополнительные требования к элементам системы управления операционным риском.

Элементы системы управления операционным риском
Элементы системы управления операционным риском

В частности, в организации должны быть созданы следующие элементы:

  • Дополнительная классификация банковских процессов (направлений деятельности) по критичности — критически важные, основные, обеспечивающие и прочие.
  • Наличие политики по управлению операционным риском
  • Наличие документов по структуре и организации управления операционным риском
  • Порядок оценки эффективности функционирования системы управления операционным риском
  • Система мер, направленных на повышение качества системы управления операционным риском
  • Способы мотивации работников к участию в управлении операционным риском

Также Глава 4 описывает отчетность по управлению операционным риском. В частности, требуется формирование (ежедневно, ежеквартально и ежегодно) следующих отчетов, дополнительно к отчетам по Указанию №3624-У:

  • информацию о событиях операционного риска и потерях, за исключением информации о событиях риска ИБ
  • о событиях риска ИБ
  • о фактических сигнальных и контрольных значениях контрольных показателей уровня операционного риска
  • об управлении операционным риском за год

В главе приведены подробные требования к составу и аналитикам этих отчетов. Указано, что срок хранения отчетов по операционным рискам должен составлять не менее 10 лет.

Для крупных банков дополнительно устанавливаются требования к автоматизированной системе управления рисками. Устанавливается требование к оценке объема операционного риска.

Глава 5. Требования к системе контрольных показателей уровня операционного риска

Глава 5 описывает требования к контролю количественных и качественных контрольных показателей уровня операционного риска.

Глава 6. Требования к ведению базы событий

Глава 6 детально описывает требования к базе событий операционного риска и базе событий информационной безопасности.

В частности, детально описаны требования к полям записей базы событий операционного риска.

База событий операционных рисков
База событий операционных рисков

Кроме того, устанавливаются требования по расчету валовых потерь от событий операционного риска. При этом необходимо учитывать, что по одному и тому же событию операционного риска выявляются и учитываются в базе событий все виды произошедших потерь.

Глава 7. Требования к управлению риском информационной безопасности

Седьмая глава подробно описывает подход к управлению риском информационной безопасности.

Глава 8. Требования к управлению риском информационных систем

Указанная глава Положения подробно описывает подход к управлению риском информационных систем.

Глава 9. Особенности применения требований настоящего Положения кредитными организациями в зависимости от характера и масштаба деятельности

Глава 9 классифицирует кредитные организации по размеру и указывает применимые и неприменимые к ним требования Положения.

Бывают следующие виды классификации по размеру:

  • крупный банк
  • банк с универсальной лицензией, не признаваемый крупным
  • банк с базовой лицензией и НКО.

К крупным банкам применяются все требования Положения об управлении операционным риском. Для прочих возможны послабления.

Глава 10. Заключительные положения

Заключительное положение устанавливает сроки внедрения требований:

  • Крупные банки должны привести свою систему управления операционным риском в соответствие с настоящим Положением в срок до 31.12.2019 г.
  • Банки с универсальной лицензией, не признаваемые крупными, должны сделать это в срок до 31.12.2020 г.
  • Банки с базовой лицензией и НКО должны внедрить требования до 31.12.2021 г.