Как известно, Банк России опубликовал положение по управлению рисками 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». В этой статье мы подробно разберем требования Центрального банка к управлению операционным риском.
Основные положения, которые устанавливает постановление 718-П:
- классификация рисков
- риски информационной безопасности, и так называемый киберриск
- требования к базе событий операционного риска
- требования к отчетности по операционному риску
- требования к политикам в области ИТ
- требования к капиталу, необходимому для покрытия потерь от реализации операционного риска
Давайте разберем, какие требования должны быть реализованы банками и кредитными организациями, с вступлением данного постановления в силу.
Постановление содержит следующие основные главы и приложения:
- Глава 1. Общие положения
- Глава 2. Элементы классификации событий операционного риска, используемые в системе управления операционным риском
- Глава 3. Требования к процедурам управления операционным риском
- Глава 4. Требования к отдельным элементам системы управления операционным риском
- Глава 5. Требования к системе контрольных показателей уровня операционного риска
- Глава 6. Требования к ведению базы событий
- Глава 7. Требования к управлению риском информационной безопасности
- Глава 8. Требования к управлению риском информационных систем
- Глава 9. Особенности применения требований Положения 716-П кредитными организациями в зависимости от характера и масштаба деятельности
Краткая выдержка самых главных требований документа по его разделам приведена ниже.
Глава 1. Общие положения
Глава раскрывает цель документа — это основной документ, устанавливающий требования к управлению операционным риском. Кредитные организации должны организовывать собственную систему управления операционным риском с соблюдением требований настоящего Положения и Указания Банка России №3624-У.
По версии Банка России система управления операционным риском включает в себя следующие компоненты:
- процедуры управления операционным риском
- классификаторы системы управления операционным риском
- база событий, содержащая информацию о событиях операционного риска и потерях от всех видов операционного риска
- контрольные показатели кредитной организации;
- система мер, направленная на повышение качества системы управления операционным риском и снижение негативного влияния операционного риска
- подразделения по организации управления операционным риском
- специализированные подразделения, которые выполняют процедуры управления операционным риском
- автоматизированная информационная система, обеспечивающая функционирование как в целом системы управления операционным риском, так и отдельных ее элементов, в том числе базы событий, с обеспечением сохранности и защиты данных от искажений информации.
Требование к наличию автоматизированной информационной системы по управлению рисками — одно из наиболее важных требований Положения 716-П.
Устанавливаются единые виды рисков, к которым применятся процедуры управления:
- риск информационной безопасности;
- риск информационных систем;
- правовой риск;
- риск ошибок в управлении проектами (проектный риск по причине операционного риска);
- риск ошибок и недостатков управленческих процессов (управленческий риск по причине операционного риска);
- риск нарушения процедур контроля;
- модельный риск, связанный с реализацией операционного риска;
- риск потерь клиентов, контрагентов и третьих лиц вследствие нарушения норм взаимодействия с клиентами и рыночных практик (риск поведения);
- риск ошибок и недостатков процесса управления персоналом (риск персонала);
- другие виды операционного риска.
Кратко описываются процедуры регламентирующие управление операционным риском в кредитных организациях.
Глава 2. Элементы классификации событий операционного риска, используемые в системе управления операционным риском
Описывается необходимость создания единого классификатора системы управления операционным риском, содержащего следующие элементы:
- источники риска
- типы событий
- направления деятельности (разрезе составляющих их банковских процессов)
- виды потерь.
Внутренний классификатор ежемесячно соотноcится с классификатором, установленным требованиями Положения.
Источники операционного риска по требованиям Банка России делятся на следующие основные категории:
- ошибки и недостатки процессов
- действия персонала
- сбои систем
- внешние факторы
Каждая из категорий внутри делится на подкатегории, по требованиям Банка классификация источников риска должна быть многоуровневой. Каждому событию операционного риска ставится в соответствие один или несколько источников риска, все они фиксируются в базе событий. При этом экспертным методом определяется один, наиболее значимый, источник риска.
Типы событий операционного риска делятся на следующие виды:
- неразрешенные действия персонала
- преднамеренные действия третьих лиц
- нарушения кадровой политики и безопасности труда
- нарушения прав клиентов и контрагентов
- ущерб материальным (физическим) активам
- нарушения функционирования и сбои ИС
- нарушения организации, исполнения и управления процессами
Кредитной организации необходимо расширить указанный список как минимум до двух уровней типа событий операционного риска. В Приложении №1 приведена классификация событий операционного риска второго уровня.
Направления деятельности, в разрезе которых классифицируется операционные риск, следующие:
- корпоративное финансирование
- операции и сделки на финансовом рынке
- розничное банковское обслуживание
- коммерческое банковское обслуживание корпоративных клиентов
- осуществление переводов денежных средств, платежей и расчетов, в которых кредитная организация выступает как клиент либо контрагент
- агентские услуги и депозитарные услуги
- управление активами
- розничное брокерское обслуживание
- обеспечение деятельности кредитной организации
Кредитной организации необходимо расширить указанный список как минимум до двух уровней направлений деятельности.
Виды потерь от реализации операционного риска:
- Прямые потери
- Непрямые потери — косвенные и качественные.
- Потери (в том числе хищения) средств клиентов и третьих лиц, которые не были компенсированы кредитной организацией
В Положении приведена подробная классификация видов потерь.
Глава 3. Требования к процедурам управления операционным риском
Третья глава Положения определяет требования к процедурам управления операционным риском в банках, в частности:
- Процедура выявления и идентификации операционного риска
- Процедура оценки операционного риска и корректного учета связи идентифицированных операционных рисков с событиями операционного риска в базе событий
- Процедура сбора и регистрации информации о внутренних событиях операционного риска (автоматизированная или ручная, если автоматизированная невозможна)
- Процедура определения потерь и возмещений от событий операционного риска
- Процедура количественной оценки уровня операционного риска
- Процедура качественной оценки уровня операционного риска
- Процедура выбора и применения способа реагирования на операционный риск
- Разработка мер реагирования
- Процедура мониторинга операционного риска
Глава 4. Требования к элементам системы управления операционным риском
В четвертой главе описаны дополнительные требования к элементам системы управления операционным риском.

В частности, в организации должны быть созданы следующие элементы:
- Дополнительная классификация банковских процессов (направлений деятельности) по критичности — критически важные, основные, обеспечивающие и прочие.
- Наличие политики по управлению операционным риском
- Наличие документов по структуре и организации управления операционным риском
- Порядок оценки эффективности функционирования системы управления операционным риском
- Система мер, направленных на повышение качества системы управления операционным риском
- Способы мотивации работников к участию в управлении операционным риском
Также Глава 4 описывает отчетность по управлению операционным риском. В частности, требуется формирование (ежедневно, ежеквартально и ежегодно) следующих отчетов, дополнительно к отчетам по Указанию №3624-У:
- информацию о событиях операционного риска и потерях, за исключением информации о событиях риска ИБ
- о событиях риска ИБ
- о фактических сигнальных и контрольных значениях контрольных показателей уровня операционного риска
- об управлении операционным риском за год
В главе приведены подробные требования к составу и аналитикам этих отчетов. Указано, что срок хранения отчетов по операционным рискам должен составлять не менее 10 лет.
Для крупных банков дополнительно устанавливаются требования к автоматизированной системе управления рисками. Устанавливается требование к оценке объема операционного риска.
Глава 5. Требования к системе контрольных показателей уровня операционного риска
Глава 5 Положения 716-П описывает требования к контролю количественных и качественных контрольных показателей уровня операционного риска.
Глава 6. Требования к ведению базы событий
Глава 6 детально описывает требования к базе событий операционного риска и базе событий информационной безопасности.
В частности, детально описаны требования к полям записей базы событий операционного риска.

Кроме того, устанавливаются требования по расчету валовых потерь от событий операционного риска. При этом необходимо учитывать, что по одному и тому же событию операционного риска выявляются и учитываются в базе событий все виды произошедших потерь.
Глава 7. Требования к управлению риском информационной безопасности
Седьмая глава подробно описывает подход к управлению риском информационной безопасности.
Глава 8. Требования к управлению риском информационных систем
Указанная глава Положения 716-П подробно описывает подход к управлению риском информационных систем.
Глава 9. Особенности применения требований Положения 716-П кредитными организациями в зависимости от характера и масштаба деятельности
Глава 9 классифицирует кредитные организации по размеру и указывает применимые и неприменимые к ним требования Положения.
Бывают следующие виды классификации по размеру:
- крупный банк
- банк с универсальной лицензией, не признаваемый крупным
- банк с базовой лицензией и НКО.
К крупным банкам применяются все требования Положения об управлении операционным риском. Для прочих возможны послабления.