В чем суть
Центробанк разработал это положение в 2020 году, чтобы реформировать политику регулирования операционных рисков. Положение регламентирует две важные части деятельности — документы и процессы. Чтобы соответствовать требованиям, компания должна не просто продемонстрировать утвержденные процессы, но и показать, что она их успешно выполняет. 716-П относится ко всем кредитным организациям кроме центрального контрагента и центрального депозитария.
Что нужно сделать
В конечном итоге все риски, которые несет кредитная организация — это деньги. Основной посыл 716-П — «Если вы не закрываете риски, вы должны выделять какое-то количество денег на компенсацию ущерба своим клиентам».
То есть, организации необходимо выделить деньги для покрытия возможных убытков. Размер этой «страховки» можно рассчитать как на нормативной основе, так и на основе оценки величин потенциальных потерь.
Также нужно выстроить внутренние процессы так, чтобы полностью контролировать ИБ, ИС и сами операционные риски. Для этого важно, чтобы следующие специалисты эффективно взаимодействовали между собой:
- Риск-менеджеры. Их задача — понимать, чем грозит компании неисполнение требований регуляторов.
- Специалисты по ИБ. Важно, чтобы их стремление к безопасности было не в ущерб удобству.
- ИТ-специалисты. Они ответственны за работу важнейшей части компании — информационных систем.
Если говорить прямо, реализовать всю эту структуру в соответствии со всеми требованиями достаточно сложно. Для этого многие компании должны пройти через болезненные процессы преобразования. Если получится уложиться в год, то это уже очень хороший результат.
Возможные риски
В положении 716-П перечислены основные виды рисков, которые нужно предусмотреть и предотвратить. Они относятся к следующим областям:
- информационная безопасность;
- право;
- управление проектами;
- корпоративные процессы;
- процессы внутреннего контроля;
- денежные средства клиентов, контрагентов, работников и третьих лиц;
- управление персоналом;
- работа платежной системы.
Кроме того, нужно регулярно проводить количественную и качественную оценки уровня операционного риска. В ходе этих процедур, например, требуется оценить масштабы потенциальных финансовых потерь от инцидентов безопасности, а также прогнозировать вероятность таких сценариев.
Организации также нужно создать и на постоянной основе обновлять информационную базу данных о событиях операционного риска и потерях. База ведется в разрезе участников банковской группы, структурных подразделений, видов операций и элементов. Она строго формализирована, но разрешается использовать любую систему, которая прошла оценку соответствия.
Фактические финансовые потери от событий операционного риска во всех официальных документах нужно проводить как потери за вычетом суммы возмещения.
Процедуры
Финансовая организация обязана официально утвердить набор процедур для соответствия требованиям, а также выделить ресурсы для их реализации. Среди этих процедур:
- идентификация рисков;
- отслеживание событий и финансовых потерь;
- определение и возмещение потерь;
- самооценка рисков не реже одного раза в год;
- выбор и внедрение способов реагирования на события операционного риска.
- преднамеренные действия сотрудников и третьих лиц;
- нарушение безопасности труда и кадровой политики;
- нарушение прав контрагентов и клиентов;
- нарушения работы оборудования и сбои систем;
- материальный ущерб и другое.
Разный масштаб — разные требования
Конкретные требования зависят от размера вашей организации и суммарного объема ее активов. Вот разбивка:
- Небанковские кредитные организации. Они должны выполнять общие положения документа, классифицировать операционные риски, вести информационную базу событий, также есть ряд отдельных требований.
- Банки с базовой лицензией. Они должны выполнять все предыдущие требования, но дополнительно обязаны вести учет контрольных показателей, а также внедрить управление риском ИБ.
- Банки с универсальной лицензией и активами до 500 млрд рублей. Дополнительно к предыдущим требованиям от них требуется внедрить управление риском информационных систем, а также дополнительные элементы системы управления операционным риском кроме автоматизации.
- Банки с универсальной лицензией и суммой активов более 500 млрд рублей. Им дополнительно необходимо отвечать требованиям к автоматизации управления рисками.