Как известно, Банк России опубликовал положение по управлению рисками 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». В этой статье мы подробно разберем требования Центрального банка к управлению операционным риском.

Основные положения, которые устанавливает постановление 718-П:

  • классификация рисков
  • риски информационной безопасности, и так называемый киберриск
  • требования к базе событий операционного риска
  • требования к отчетности по операционному риску
  • требования к политикам в области ИТ
  • требования к капиталу, необходимому для покрытия потерь от реализации операционного риска

Давайте разберем, какие требования должны быть реализованы банками и кредитными организациями, с вступлением данного постановления в силу.

Постановление содержит следующие основные главы и приложения:

Краткая выдержка самых главных требований документа по его разделам приведена ниже.

Глава 1. Общие положения

Глава раскрывает цель документа — это основной документ, устанавливающий требования к управлению операционным риском. Кредитные организации должны организовывать собственную систему управления операционным риском с соблюдением требований настоящего Положения и Указания Банка России №3624-У.

По версии Банка России система управления операционным риском включает в себя следующие компоненты:

  • процедуры управления операционным риском
  • классификаторы системы управления операционным риском
  • база событий, содержащая информацию о событиях операционного риска и потерях от всех видов операционного риска
  • контрольные показатели кредитной организации;
  • система мер, направленная на повышение качества системы управления операционным риском и снижение негативного влияния операционного риска
  • подразделения по организации управления операционным риском
  • специализированные подразделения, которые выполняют процедуры управления операционным риском
  • автоматизированная информационная система, обеспечивающая функционирование как в целом системы управления операционным риском, так и отдельных ее элементов, в том числе базы событий, с обеспечением сохранности и защиты данных от искажений информации.

Требование к наличию автоматизированной информационной системы по управлению рисками — одно из наиболее важных требований Положения 716-П.

Устанавливаются единые виды рисков, к которым применятся процедуры управления:

  • риск информационной безопасности;
  • риск информационных систем;
  • правовой риск;
  • риск ошибок в управлении проектами (проектный риск по причине операционного риска);
  • риск ошибок и недостатков управленческих процессов (управленческий риск по причине операционного риска);
  • риск нарушения процедур контроля;
  • модельный риск, связанный с реализацией операционного риска;
  • риск потерь клиентов, контрагентов и третьих лиц вследствие нарушения норм взаимодействия с клиентами и рыночных практик (риск поведения);
  • риск ошибок и недостатков процесса управления персоналом (риск персонала);
  • другие виды операционного риска.

Кратко описываются процедуры регламентирующие управление операционным риском в кредитных организациях.

Глава 2. Элементы классификации событий операционного риска, используемые в системе управления операционным риском

Описывается необходимость создания единого классификатора системы управления операционным риском, содержащего следующие элементы:

  • источники риска
  • типы событий
  • направления деятельности (разрезе составляющих их банковских процессов)
  • виды потерь.

Внутренний классификатор ежемесячно соотноcится с классификатором, установленным требованиями Положения.

Источники операционного риска по требованиям Банка России делятся на следующие основные категории:

  • ошибки и недостатки процессов
  • действия персонала
  • сбои систем
  • внешние факторы

Каждая из категорий внутри делится на подкатегории, по требованиям Банка классификация источников риска должна быть многоуровневой. Каждому событию операционного риска ставится в соответствие один или несколько источников риска, все они фиксируются в базе событий. При этом экспертным методом определяется один, наиболее значимый, источник риска.

Типы событий операционного риска делятся на следующие виды:

  • неразрешенные действия персонала
  • преднамеренные действия третьих лиц
  • нарушения кадровой политики и безопасности труда
  • нарушения прав клиентов и контрагентов
  • ущерб материальным (физическим) активам
  • нарушения функционирования и сбои ИС
  • нарушения организации, исполнения и управления процессами

Кредитной организации необходимо расширить указанный список как минимум до двух уровней типа событий операционного риска. В Приложении №1 приведена классификация событий операционного риска второго уровня.

Направления деятельности, в разрезе которых классифицируется операционные риск, следующие:

  • корпоративное финансирование
  • операции и сделки на финансовом рынке
  • розничное банковское обслуживание
  • коммерческое банковское обслуживание корпоративных клиентов
  • осуществление переводов денежных средств, платежей и расчетов, в которых кредитная организация выступает как клиент либо контрагент
  • агентские услуги и депозитарные услуги
  • управление активами
  • розничное брокерское обслуживание
  • обеспечение деятельности кредитной организации

Кредитной организации необходимо расширить указанный список как минимум до двух уровней направлений деятельности.

Виды потерь от реализации операционного риска:

  • Прямые потери
  • Непрямые потери — косвенные и качественные.
  • Потери (в том числе хищения) средств клиентов и третьих лиц, которые не были компенсированы кредитной организацией

В Положении приведена подробная классификация видов потерь.

Глава 3. Требования к процедурам управления операционным риском

Третья глава Положения определяет требования к процедурам управления операционным риском в банках, в частности:

  • Процедура выявления и идентификации операционного риска
  • Процедура оценки операционного риска и корректного учета связи идентифицированных операционных рисков с событиями операционного риска в базе событий
  • Процедура сбора и регистрации информации о внутренних событиях операционного риска (автоматизированная или ручная, если автоматизированная невозможна)
  • Процедура определения потерь и возмещений от событий операционного риска
  • Процедура количественной оценки уровня операционного риска
  • Процедура качественной оценки уровня операционного риска
  • Процедура выбора и применения способа реагирования на операционный риск
  • Разработка мер реагирования
  • Процедура мониторинга операционного риска

Глава 4. Требования к элементам системы управления операционным риском

В четвертой главе описаны дополнительные требования к элементам системы управления операционным риском.

Элементы системы управления операционным риском по положению 716-П
Элементы системы управления операционным риском по положению 716-П

В частности, в организации должны быть созданы следующие элементы:

  • Дополнительная классификация банковских процессов (направлений деятельности) по критичности — критически важные, основные, обеспечивающие и прочие.
  • Наличие политики по управлению операционным риском
  • Наличие документов по структуре и организации управления операционным риском
  • Порядок оценки эффективности функционирования системы управления операционным риском
  • Система мер, направленных на повышение качества системы управления операционным риском
  • Способы мотивации работников к участию в управлении операционным риском

Также Глава 4 описывает отчетность по управлению операционным риском. В частности, требуется формирование (ежедневно, ежеквартально и ежегодно) следующих отчетов, дополнительно к отчетам по Указанию №3624-У:

  • информацию о событиях операционного риска и потерях, за исключением информации о событиях риска ИБ
  • о событиях риска ИБ
  • о фактических сигнальных и контрольных значениях контрольных показателей уровня операционного риска
  • об управлении операционным риском за год

В главе приведены подробные требования к составу и аналитикам этих отчетов. Указано, что срок хранения отчетов по операционным рискам должен составлять не менее 10 лет.

Для крупных банков дополнительно устанавливаются требования к автоматизированной системе управления рисками. Устанавливается требование к оценке объема операционного риска.

Глава 5. Требования к системе контрольных показателей уровня операционного риска

Глава 5 Положения 716-П описывает требования к контролю количественных и качественных контрольных показателей уровня операционного риска.

Глава 6. Требования к ведению базы событий

Глава 6 детально описывает требования к базе событий операционного риска и базе событий информационной безопасности.

В частности, детально описаны требования к полям записей базы событий операционного риска.

База событий операционных рисков по положению 716-П
База событий операционных рисков по положению 716-П

Кроме того, устанавливаются требования по расчету валовых потерь от событий операционного риска. При этом необходимо учитывать, что по одному и тому же событию операционного риска выявляются и учитываются в базе событий все виды произошедших потерь.

Глава 7. Требования к управлению риском информационной безопасности

Седьмая глава подробно описывает подход к управлению риском информационной безопасности.

Глава 8. Требования к управлению риском информационных систем

Указанная глава Положения 716-П подробно описывает подход к управлению риском информационных систем.

Глава 9. Особенности применения требований Положения 716-П кредитными организациями в зависимости от характера и масштаба деятельности

Глава 9 классифицирует кредитные организации по размеру и указывает применимые и неприменимые к ним требования Положения.

Бывают следующие виды классификации по размеру:

  • крупный банк
  • банк с универсальной лицензией, не признаваемый крупным
  • банк с базовой лицензией и НКО.

К крупным банкам применяются все требования Положения об управлении операционным риском. Для прочих возможны послабления.