Положение 716-П

Положение 716-П

«О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

Описание Положения 716-П

Объекты:

  • Кредитные организации (банки, небанковские кредитные организации), обязанные внедрять процедуры идентификации, оценки, мониторинга и контроля операционного риска, включая классификатор событий (преднамеренные действия персонала/третьих лиц, сбои систем, внешние события);
  • Головные кредитные организации банковских групп, управляющие рисками на уровне группы с учетом потерь, капитала и стратегий минимизации (уклонение, передача, принятие риска).

Самое главное:

Положение Банка России № 716-П устанавливает комплексные требования к системе управления операционным риском (СУОР) для кредитных организаций и банковских групп, где самое главное — внедрение единой методологии идентификации, оценки, мониторинга, контроля и минимизации рисков, включая классификатор событий по типам (преднамеренные действия персонала/внешних лиц, сбои в системах ИТ/процессах, внешние события) и процессам (розничное обслуживание, платежи, кредитование, торговый портфель), с расчетом капитала на покрытие потерь (учет исторических данных, сценариев, стресс-тестов), ежегодной оценкой эффективности СУОР, ежеквартальной отчетностью в Банк России (с 1 октября 2022 г.), контролем ключевых показателей (КПУР) по уязвимостям и производительности, распределением ответственности (коллегиальные органы утверждают политику, исполнительные — реализуют), стратегиями минимизации (уклонение, принятие, передача риска) и хранением документов 10 лет.

Используемые термины:

Операционный риск риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.

База (реестр) событий операционного риска –  аналитическая база данных о событиях операционного риска и потерях, понесенных вследствие его реализации.

Система управления операционным риском (СУОР) – совокупность политики, процедур, методик, организационной структуры, информационных систем, отчетности и контроля, обеспечивающих идентификацию, оценку, мониторинг и контроль (ограничение) операционного риска на уровне кредитной организации и банковской группы.

Классификатор событий операционного риска – закрепленная во внутренних документах кредитной организации или банковской группы структура типов и подтипов событий операционного риска, применяемая для регистрации, группировки и анализа событий операционного риска и связанных с ними потерь.

Контрольные показатели уровня операционного риска (КПУОР) – количественные и (или) качественные показатели, используемые для мониторинга уровня операционного риска, в том числе для оценки изменения уровня риска во времени и выявления отклонений, требующих реакции органов управления и подразделений кредитной организации или банковской группы.

Сигнальный показатель операционного риска – контрольный показатель уровня операционного риска, для которого во внутренних документах кредитной организации или банковской группы установлены пороговые значения (сигнальные уровни), достижение или превышение которых является основанием для проведения анализа причин, подготовки предложений по мерам реагирования и информирования органов управления.

Подразделение, ответственное за управление операционным риском – структурное подразделение (либо несколько подразделений) кредитной организации или банковской группы, выполняющее функции по организации и координации функционирования СУОР, методологическому обеспечению, консолидации и анализу информации об операционном риске.

Информационная система управления операционным риском – информационная система (или совокупность систем), обеспечивающая сбор, регистрацию, хранение, обработку и анализ данных об операционном риске, включая базу событий и контрольные показатели, с установленными требованиями к защите информации, целостности и доступности данных.

Процедуры управления операционным риском

716-П устанавливает детальные требования к процедурам управления операционным риском в кредитных организациях и банковских группах. Данные процедуры кредитная организация (или головная кредитная организация банковской группы) обязана установить во внутренних документах с учетом пункта 4.1 приложения 1 к Указанию Банка России № 3624-У и главы 9 716-П.

Кредитная организация (или головная кредитная организация банковской группы) внедряет семь ключевых процедур управления операционным риском:

1. Идентификация операционного риска, включающая следующие способы:

  • анализ базы событий;
  • проведение подразделениями кредитной организации (головной кредитной организации банковской группы) ежегодной самооценки уровня операционного риска и форм (способов) контроля, направленных на снижение его уровня, на основе формализованных анкет в соответствии с требованиями абзацев шестого, восьмого - тринадцатого подпункта 2.1.5 пункта 2.1 716-П;
  • анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска), по направлениям деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы) в соответствии с абзацами девятым - двадцатым подпункта 2.1.7 пункта 2.1 716-П;
  • интервью с работниками кредитной организации (головной кредитной организации банковской группы), в том числе с руководством кредитной организации (головной кредитной организации банковской группы), в рамках которых работниками и руководством кредитной организации (головной кредитной организации банковской группы) обсуждаются операционные риски, оказывающие влияние на деятельность кредитной организации (головной кредитной организации банковской группы);
  • анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации операционного риска;
  • анализ информации уполномоченного подразделения и внешнего аудита;
  • анализ информации работников кредитной организации (головной кредитной организации банковской группы), полученной в рамках инициативного информирования работниками кредитной организации (головной кредитной организации банковской группы) службы управления рисками и (или) службы внутреннего аудита;
  • анализ других внешних и внутренних источников информации и способов выявления рисков.

Кредитная организация (головная кредитная организация банковской группы) использует результаты процедуры идентификации операционного риска для проведения процедур количественной и качественной оценки уровня операционного риска и корректного учета связи идентифицированного операционного риска с событиями операционного риска в базе событий.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 716-П.

2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:

  • автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;
  • неавтоматизированное выявление и сбор информации о событиях операционного риска, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий операционного риска в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны. Порядок и срок проведения анализа обстоятельств и причин произошедших событий операционного риска определяется кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах;
  • ввод информации о событиях операционного риска в базу событий по алгоритмизированным правилам, установленным кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах;
  • классификацию выявленных событий операционного риска в соответствии с главой 3 716-П;
  • определение потерь от реализации событий операционного риска в соответствии с подпунктом 2.1.3 пункта 2.1 716-П;
  • регистрацию событий операционного риска в базе событий;
  • определение стоимости возмещений потерь от реализации событий операционного риска в базе событий;
  • обновление в соответствии с главой 6 716-П информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации;
  • актуализацию источников информации о событиях операционного риска и сведений о центрах компетенций, ответственных за их сбор.

Кредитная организация (головная кредитная организация банковской группы) обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:

  • центров компетенций;
  • правил предоставления информации об идентифицированных событиях операционного риска центрами компетенций в подразделение, ответственное за организацию управления операционным риском, не позднее пяти рабочих дней с момента идентификации события операционного риска, за исключением событий операционного риска, загружаемых в базу событий программно-аппаратными средствами на определенную кредитной организацией;
  • контрольных показателей уровня операционного риска, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к 716-П, в разрезе центров компетенций (ключевых показателей эффективности по выявлению событий операционного риска в процессах), ответственность за несоблюдение которых возложена на центры компетенций (их руководителей).

3. Определение потерь и возмещений потерь от реализации событий операционного риска, включающее следующие способы:

  • учет потерь кредитной организации (головной кредитной организации банковской группы), указанных в пункте 3.11 716-П, включая установление сроков выявления и правил отражения в бухгалтерском учете, с учетом пунктов 6.7-6.19 716-П;
  • порядок и методы определения потерь кредитной организации (головной кредитной организации банковской группы), указанных в пункте 3.13 716-П, от события операционного риска;
  • порядок выявления расходов, относящихся к операционному риску, из общих расходов кредитной организации (головной кредитной организации банковской группы) (для определения потерь, указанных в пункте 3.12 716-П), в том числе порядок выявления и сверки событий операционного риска с данными бухгалтерского учета;
  • порядок и методы оценки недополученных доходов, связанных с событиями операционного риска (для определения потерь, указанных в пункте 3.13 716-П);
  • порядок и методы определения потенциальных потерь, указанных в подпункте 3.13.3 пункта 3.13 716-П;
  • порядок и методы определения стоимости возмещений от событий операционного риска;
  • отбор и назначение экспертов кредитной организации (головной кредитной организации банковской группы), ответственных за расчет потерь от реализации событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, областей их компетенции и ответственности. Допускается совмещение функции регистрации событий операционного риска в базе событий и функции расчета потерь и возмещений от реализации событий операционного риска.

4. Количественная оценка уровня операционного риска, включающая следующие способы:

  • агрегированную оценку уровня операционного риска по кредитной организации (головной кредитной организации банковской группы) в целом, по подразделениям кредитной организации (головной кредитной организации банковской группы), а также по типам событий операционного риска в соответствии с пунктом 3.6 716-П, направлениям деятельности, в том числе в разрезе составляющих их процессов, в соответствии с пунктом 3.9 716-П и видам операционного риска в соответствии с пунктом 1.4 716-П. Кредитная организация (головная кредитная организация банковской группы) применяет агрегированную оценку уровня операционного риска в случае, если кредитная организация (головная кредитная организация банковской группы) использует методы количественной оценки потерь от реализации операционного риска на основе статистических данных из базы событий с использованием продвинутого подхода, включающего методы, указанные в пункте 4.4 приложения 1 к Указанию Банка России 3624-У (продвинутый подход);
  • оценку объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) в рамках внутренних процедур оценки достаточности капитала (ВПОДК) на покрытие потерь от реализации событий операционного риска в целом по кредитной организации (головной кредитной организации банковской группы) в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, риска информационной безопасности и других видов операционного риска, с учетом подходов к расчету объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) на покрытие потерь от реализации операционного риска, изложенных в приложении 2 к 716-П;
  • оценку ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с использованием статистических данных по событиям операционного риска, зарегистрированным в базе событий в этих разрезах (при наличии), в целях определения способов покрытия указанных ожидаемых потерь, в том числе их учета в ценообразовании услуг и тарифов. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах способы проведения процедуры количественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.

5. Качественная оценка уровня операционного риска, проводимая в отношении выявленных операционных рисков в дополнение к количественной оценке и включающая следующие способы:

  • самооценку операционного риска в соответствии с абзацами шестым, восьмым - тринадцатым подпункта 2.1.5 716-П;
  • профессиональную оценку выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами с учетом установленных кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах правил привлечения внешних экспертов;
  • сценарный анализ операционных рисков, в том числе моделирование угроз, включающее анализ потенциальных источников реализации операционного риска и возможных потерь от них, с учетом осуществляемых кредитной организацией процессов и форм (способов) контроля операционного риска.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методы проведения процедуры качественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.

Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него перечня критически важных процессов, определенных кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 716-П, и перечня процессов, уровень существенности операционного риска у которых по результатам качественных оценок, предшествующих дате проведения качественной оценки уровня операционного риска, был высоким или очень высоким в соответствии с абзацем одиннадцатым настоящего подпункта или не оценивался в течение двух лет, предшествующих дате проведения качественной оценки уровня операционного риска, в отношении которых осуществляется качественная оценка уровня операционного риска, с указанием ответственных и участвующих подразделений кредитной организации (головной кредитной организации банковской группы) (далее - план проведения качественной оценки). Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) утверждает план проведения качественной оценки.

Кредитная организация (головная кредитная организация банковской группы) определяет критерии самооценки операционного риска, которые должны включать:

  • критерии оценки уровня существенности операционного риска (с соотнесением к четырехуровневой шкале: «очень высокий», «высокий», «средний», «низкий»), включая критерии оценки потерь и количественной и качественной оценки вероятности реализации операционного риска в условиях текущего процесса;
  • критерии оценки эффективности форм (способов) контроля (с учетом уровня регламентации и автоматизации мер уменьшения негативного влияния оцениваемого операционного риска), как действующих на момент проведения оценки, так и рассматриваемых кредитной организацией (головной кредитной организацией банковской группы) к внедрению;
  • критерии оценки уровня возможных потерь при реализации операционного риска с учетом оценки эффективности форм (способов) контроля (уровень остаточного риска).

Кредитная организация (головная кредитная организация банковской группы) разрабатывает требования к проведению профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами с указанием сроков, правил и порядка ее проведения.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методы проведения профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) на основе требований к ее проведению.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методику сценарного анализа операционных рисков и порядок его проведения.

6. Выбор и применение способа реагирования на операционный риск, в срок не более трех месяцев со дня проведения оценки уровня операционного риска, включая следующие способы реагирования:

  • уклонение от риска, предусматривающее отказ кредитной организации (головной кредитной организации банковской группы) от оказания соответствующего вида услуг и операций в связи с высоким уровнем операционного риска в них;
  • передачу риска, предусматривающую страхование, передачу риска другой стороне - контрагенту и (или) клиенту;
  • принятие риска, предусматривающее готовность кредитной организации (головной кредитной организации банковской группы) принять возможные потери в рамках установленного лимита потерь с процедурой контроля соблюдения лимита;
  • принятие мер, направленных на уменьшение негативного влияния операционного риска на качество процессов, величины потерь от реализации операционного риска до учета возмещения (валовые потери), включая разработку кредитной организацией (головной кредитной организацией банковской группы) форм (способов) контроля, которые включают:
  • изменения, вносимые в процессы;
  • установление дополнительных форм (способов) контроля;
  • обучение работников, в том числе участников процессов;
  • применение автоматизированных решений;
  • другие меры, направленные на уменьшение негативного влияния операционного риска.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок проведения процедуры выбора и применения способа реагирования на операционный риск, в том числе методы оценки стоимости выбранного способа реагирования.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает меры, направленные на уменьшение негативного влияния операционного риска, с учетом оценки их эффективности и уровня остаточного риска (по результатам реализации мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска).

7. Мониторинг операционного риска, включающий следующие способы:

  • установление и мониторинг КИР;
  • анализ статистики событий операционного риска, в том числе причин возникновения событий операционного риска и потерь от их реализации;
  • контроль выполнения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, определенных в соответствии с подпунктом 4.1.5 пункта 4.1 716-П;
  • контроль выполнения мер, направленных на уменьшение негативного влияния операционного риска, определенных в соответствии с абзацами пятым - десятым подпункта 2.1.6 п. 2.1 716-П;
  • контроль соблюдения выбранных способов реагирования на операционные риски;
  • мониторинг потоков информации в рамках реализации операционного риска, поступающей от подразделений кредитной организации (головной кредитной организации банковской группы) и центров компетенций, единоличного и коллегиального органов управления кредитной организации (головной кредитной организации банковской группы), из других источников информации.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах процедуру мониторинга операционного риска.

Классификатор событий операционного риска

716-П в Главе 3 устанавливает единый классификатор событий операционного риска, обязательный для всех кредитных организаций и головных кредитных организаций банковских групп. Классификация обеспечивает унифицированный учет событий в базе данных для анализа, оценки и отчетности, охватывая все случаи реализации операционного риска в разрезе источников, типов событий, направлений деятельности (включая процессы) и видов потерь. Глава 3 интегрируется с базами событий (гл. 6 716-П), отчетами (гл. 4 716-П) и процедурами (гл. 2 716-П), обеспечивая аналитику по всем разрезам для управления рисками.

Все события классифицируются по четырем ключевым разрезам:

  • Источники операционного риска: определяют первопричину;
  • Типы событий операционного риска: описывают характер инцидента;
  • Направления деятельности : привязка к бизнес-процессам (первый уровень + детализация);
  • Виды потерь : прямые (бухучет) и непрямые (расчетные/качественные/потенциальные).​​

Кредитные организации должны вести единый классификатор, обновляемый при изменениях операций/процессов, с реестром рисков. Для нескольких источников/направлений указываются все, с выделением наиболее значимого.

Источники делятся на 4 категории (базовый уровень, с детализацией в документах организации):

Категория Описание Примеры
Недостатки процессов Ненадежная/неэффективная организация внутренних процессов управления, операций; несоответствие законодательству РФ Ошибки в процессах, нарушения регламентов
Действия персонала и связанных лиц Непреднамеренные ошибки, умышленные действия/бездействие работников, собственников, агентов (ст. 64.1 ФЗ-86) Мошенничество сотрудников, ошибки ввода данных
Сбои систем и оборудования Отказы/нарушения ИС, оборудования; несоответствие характеристик нуждам Сбои серверов, устаревшее ПО
Внешние причины Действия третьих лиц (суды, госорганы, Банк России), другие внешние воздействия Кибератаки, судебные решения

Типы событий операционного риска

Обязательная классификация на 7 базовых типов (детализация по Приложению 4 716-П, при этом возможна расширенная детализация в документах организаций):

  • Преднамеренные действия персонала: хищение, уничтожение активов, нарушение процессов для выгоды (включая несоблюдение норм);
  • Преднамеренные действия третьих лиц: хищение/ущерб активам (кроме вандализма), нарушение процессов/законодательства (обман);
  • Нарушение кадровой политики и безопасности труда: иски работников по зарплате, вреду, дискриминации, увольнениям;
  • Нарушение прав клиентов/контрагентов: ущерб при услугах, нарушение договоров/конфиденциальности, защиты потребителей, антимонопольного законодательства;
  • Ущерб материальным активам: снижение стоимости от бедствий, катастроф, эпидемий, беспорядков, вандализма, войн;
  • Нарушение/сбои систем и оборудования: сбои в деятельности;
  • Нарушение организации/исполнения/управления процессами: ошибки обработки, недостатки риск-менеджмента, ИБ, ПОД/ФТ, поставок.

Направления деятельности

Базовый уровень (9 направлений первого уровня, возможна детализация до 2+ уровня в документах организации):

Направление (первый уровень) Описание
Корпоративное финансирование Доступ к рынкам, слияния, консультации
Операции на финансовом рынке Торговый портфель
Розничное банковское обслуживание Услуги физическим лицам (кроме брокерских/депозитарных)
Коммерческое банковское обслуживание Юридические лица
Переводы через платежные системы Оператор переводов (кроме внутрибанковских)
Агентские/депозитарные услуги Хранение/учет активов
Управление активами Доверительное управление
Розничное брокерское обслуживание Брокерство для физических лиц
Обеспечение деятельности Бухучет, риски, ИС, безопасность, HR и т.д.

Виды потерь:

  • Прямые: 10 видов (обесценение активов, списание, выплаты клиентам/работникам, ошибочные платежи, суды/штрафы, восстановление, невыгодные сделки и др.).
  • Непрямые:
    • Косвенные (расчетные): недополученные доходы, рост затрат, отток клиентов;
    • Качественные (экспертные, 4 шкалы: очень высокие, высокие, средние, низкие): риски репутации, отток, утечки, ограничения;
    • Потенциальные: некомпенсированные хищения клиентов, штрафы на должностных лиц.

Дополнительные элементы системы управления операционным риском

716-П в главе 4 описывает дополнительные элементы системы управления операционным риском, дополняющие базовые (процедуры управления и классификаторы событий). Эти элементы обязательны для кредитных организаций и головных кредитных организаций банковских групп, обеспечивая структурированное управление, отчетность и контроль.

Перечень процессов и их критичность

Организации формируют полный перечень всех своих процессов, привязанных к направлениям деятельности, включая технологические процессы, которые требуют информационного взаимодействия, обработки и хранения данных с помощью информационных систем.

Каждый процесс классифицируется по уровню критичности на три категории:

  • критически важные;
  • основные;
  • прочие.

Критически важные процессы обеспечивают выполнение ключевых операций, перечисленных в пунктах 1-4 и 9 части первой статьи 5 Федерального закона «О банках и банковской деятельности», а также ведение бухгалтерского учета, представление отчетности в Банк России согласно Указанию  Банка России № 6406-У, поддержание ликвидности, операции на финансовых рынках, кассовые операции, работу онлайн-сервисов, соблюдение требований к персональным данным по Федеральному закону № 152-ФЗ и Трудовому кодексу РФ. Прерывание таких процессов приводит к нарушению обязательств перед клиентами и контрагентами.

Основные процессы охватывают операции из пунктов пунктах 5-7  части первой статьи 5 Федерального закона «О банках и банковской деятельности», если они не признаны критическими, плюс процессы, где расходы или доходы превышают 5 процентов от дохода за год для расчета капитала на операционный риск по Положению Банка России № 652-П или № 744-П, их пересматривают ежегодно.

Прочие процессы включают все остальные.

Политика, структура и оценка эффективности

Кредитная организация разрабатывает политику управления операционным риском, внутренние документы с описанием процедур управления и оценки их эффективности, а также документы, определяющие структуру системы, полномочия и функции подразделения по организации управления рисками, специализированных подразделений и центров компетенций с исключением конфликта интересов. Дочерние кредитные организации банковской группы обязаны согласовывать эти документы с головной организацией. Кроме того, вводится порядок ежегодной оценки эффективности системы уполномоченным подразделением, структурно независимым от службы рисков, например, службой внутреннего аудита, или внешними экспертами; правила привлечения внешних экспертов фиксируются во внутренних документах.

Комплекс мероприятий по снижению рисков

Система включает комплекс мероприятий, направленных на повышение качества управления операционным риском и уменьшение его негативного влияния, в том числе на предотвращение событий риска и ограничение потерь, с учетом случаев нарушения непрерывности деятельности и требований к операционной надежности.

Мероприятия по предотвращению вероятности событий предусматривают реализацию форм контроля из приложения 3 к 716-П (пункты 10, 11, 15, 17, 18, 28), изменения процессов, документацию результатов контроля, установление требований к третьим лицам по их системам управления рисками, включая риск нарушения непрерывности, и исключение неконтролируемых операций.

Мероприятия по ограничению потерь включают установку пороговых значений и лимитов с контролем, автоматизацию процессов для снижения ошибок персонала, разработку и тестирование планов непрерывности и восстановления критически важных процессов и информационных систем, определение способов возмещения потерь (страхование, перенос на контрагентов), юридическое сопровождение. Головная кредитная организация банковской группы обеспечивает реализацию этих мероприятий для всех участников группы.

Мотивация персонала и отчетность

Кредитная организация вводит способы мотивации работников к участию в управлении рисками, такие как поощрение за инициативное информирование о рисках и событиях, участие в процедурах управления операционным риском, предложения и реализация мероприятий. Эти способы привязываются к контрольным показателям уровня риска и распространяются на определенные категории персонала.

Подразделение по организации управления рисками формирует отчеты:

  • ежедневно – руководителю службы рисков о событиях предыдущего дня, их обстоятельствах и влиянии на целевые показатели;
  • ежеквартально – руководителю рисков и коллегиальному исполнительному органу об управлении рисками (события и потери по классификации и видам рисков, результаты процедур, оценки, реакции, мониторинга, без событий информационной безопасности), отдельно о событиях ИБ и контрольных показателях;
  • ежегодно – годовой отчет с планами мероприятий, который представляется совету директоров.

Информация о событиях детализируется по количеству, суммам прямых/косвенных/потенциальных потерь, максимальным и топ-5 событиям, возмещениям, чистым потерям, средним значениям, сигме (при >100 событий) и распределению по группам сумм. Коллегиальный орган рассматривает отчеты в течение 20 рабочих дней и поручает меры. Отчеты хранятся не менее 10 лет.

Дополнительные требования и контроль

Кредитная организация устанавливает требования к информационной системе управления рисками с автоматизацией базы событий и обменом данными с другими системами для фиксации сбоев и ошибок. Должны обеспечиваться требования к управлению модельным риском (оценка моделей активов), перечню процессов с учетом взаимосвязей критических элементов и мониторингом изменений, управлению рисками при изменениях в критических процессах (оценка, ресурсы, утверждение), а также к риску недобросовестного поведения (правила поведения, обучение, контроль конфликтов, анализ обращений).

Уполномоченное подразделение ежегодно оценивает эффективность системы (полнота базы, процедуры, меры) с отчетом руководству. Плановые показатели уровня риска рассчитываются по объемам операций и соотносятся с потерями. Подразделение рисков ежегодно анализирует необходимость пересмотра политики и направляет предложения коллегиальному органу.

Система контрольных показателей уровня операционного риска

Определение контрольных показателей

Кредитная организация обязана установить контрольные показатели уровня операционного риска для каждого технологического процесса и соблюдать для них два типа значений: сигнальные и контрольные.

Сигнальное значение представляет собой порог, при превышении которого вводится ежедневный мониторинг показателя и реализуются меры по устранению отклонения фактического значения от предельно допустимого.

Контрольное значение является более строгим порогом, при нарушении которого информация доводится до совета директоров (наблюдательного совета), и применяются меры реагирования, подробно описанные во внутренних документах кредитной организации согласно пункту 5.4 716-П. Эти показатели рассчитываются в разрезе направлений деятельности, включая составляющие их процессы, и утверждаются с учетом специфики операций организации.

Роль совета директоров

Совет директоров (наблюдательный совет) кредитной организации несет ключевую ответственность за утверждение сигнальных и контрольных значений показателей уровня операционного риска на плановый годовой период в целом по организации. Эти значения подлежат ежегодному пересмотру и актуализации в рамках оценки соответствия процедур управления рисками текущей ситуации, включая результаты оценки эффективности системы по пункту 4.4 716-П.

Совет директоров также обеспечивает контроль за фактическими значениями показателей и организует реагирование организации в случае превышения как сигнальных, так и контрольных значений, что гарантирует стратегический надзор за системой управления рисками.

Расчет значений показателей

Подразделение, ответственное за организацию управления операционным риском, проводит расчет сигнальных и контрольных значений на основе статистических данных о событиях операционного риска за период не менее десяти лет в соответствии с порядком, установленным во внутренних документах кредитной организации.

Если база событий ведется менее десяти лет, организация разрабатывает методику учета недостающих данных и рассчитывает значения на основе имеющегося периода с последующим дополнением по мере накопления информации.

Результаты расчета и обоснование оформляются в виде заключения, которое включается в материалы для утверждения политики управления операционным риском коллегиальным исполнительным органом. Кредитная организация определяет орган управления, который утверждает значения показателей в разрезе направлений деятельности, процессов и подразделений, ответственных за операции, с учетом общих значений, утвержденных советом директоров.

Порядок реагирования на нарушения

Кредитная организация разрабатывает во внутренних документах подробный порядок действий должностных лиц в случае нарушения контрольных показателей, соответствующий пункту 1.1 приложения 1 к Указанию Банка России № 3624-У. Этот порядок определяет функции и ответственность органов управления и подразделений, а также комплекс мероприятий по повышению качества системы управления операционным риском, уменьшению его влияния или пересмотру значений показателей.

Особое внимание уделяется порядку информирования совета директоров в случае превышения контрольных значений, что обеспечивает эскалацию проблем на высший уровень управления и оперативное принятие корректирующих мер.

Ведение базы событий

716-П в главе 6 устанавливает требования к ведению базы событий операционного риска, которая служит центральным хранилищем данных для всей системы управления рисками в кредитной организации или головной кредитной организации банковской группы. База ведется на постоянной основе и фиксирует все случаи реализации операционного риска с полной детализацией по элементам классификации из главы 3, включая источники, типы событий, направления деятельности и виды потерь. Это обеспечивает основу для анализа тенденций, количественной и качественной оценки рисков, расчета капитала по Указанию Банка России № 3624-У и формирования отчетности.

Кредитная организация определяет порядок ведения базы во внутренних документах, гарантируя ее полноту, точность, сохранность данных и защиту от искажений с использованием автоматизированных информационных систем.

Особенности ведения в банковских группах

Головная кредитная организация банковской группы организует консолидированное ведение базы событий по всей группе с учетом потерь от операционного риска у всех участников, что необходимо для расчета капитала группы и соблюдения внутренних процедур оценки достаточности капитала (ВПОДК).

Дочерние кредитные организации передают данные ежемесячно, если база ведется раздельно, они согласовывают свой порядок с головной организацией.

При отличающейся классификации событий у дочерних организаций, например иностранных, головная кредитная организация устанавливает правила соотнесения с требованиями главы 3 716-П и определяет дополнительные отчеты по рискам для обеспечения единообразия анализа на групповом уровне.

Содержание данных и обновление информации

База событий содержит исчерпывающую информацию о всех выявленных случаях, включая классификацию по источникам (п. 3.3–3.5 716-П), типам (п. 3.6–3.8 716-П), направлениям деятельности (п. 3.9–3.10 716-П) и видам потерь (п. 3.11–3.15 716-П).

Обновление данных происходит при выявлении новых обстоятельств реализации события, с актуализацией источников информации и центров компетенций, ответственных за сбор. Потенциальные потери, такие как некомпенсированные хищения средств клиентов, фиксируются отдельно с детализацией по группам лиц (физические лица, индивидуальные предприниматели, юридические лица), но не включаются в валовые потери, если клиент отказался от компенсации.

Учет потерь, возмещений и резервов

Прямые потери отражаются в базе в соответствии с бухгалтерским учетом, включая:

  • обесценение активов;
  • списание материальных ценностей;
  • выплаты клиентам и работникам;
  • ошибочные платежи;
  • судебные расходы;
  • штрафы от Банка России и затраты на восстановление.

Косвенные потери определяются расчетными методами или экспертной оценкой, а качественные – по четырехбалльной шкале значимости. Резервы на возможные потери по операционному риску начисляются отдельно от кредитных резервов на счета расходов. Валовая сумма потерь рассчитывается как сумма прямых и косвенных потерь до учета возмещений, а чистые потери – после вычета возмещений от третьих лиц (несвязанных и связанных). Регуляторные потери, включая штрафы Банка России, включаются в валовые для целей соответствующей отчетности. Должна обеспечиваться обязательная сверка с бухгалтерским учетом для исключения дублирования событий и корректного отражения своевременно выявленных потерь в установленные сроки.

Контроль полноты и качества базы событий

Уполномоченное подразделение, независимое от службы рисков (например, внутренний аудит), ежегодно оценивает полноту, точность и корректность ведения базы событий, включая проверку классификации событий, расчетов потерь и соблюдения процедур. Результаты оценки представляются совету директоров и коллегиальному исполнительному органу. Подразделение по управлению рисками обеспечивает валидацию данных, автоматизированный ввод и доступ для анализа, а также мониторинг на предмет искажений. База хранится не менее десяти лет и интегрируется с другими системами для оперативного использования в процедурах глав 2, 4 и 5 716-П.

Управление риском информационной безопасности

716-П в главе 7 регламентирует управление риском информационной безопасности, который является одним из ключевых видов операционного риска, возникающим из-за недостатков процессов обеспечения информационной безопасности, прикладного программного обеспечения и несоответствия их требованиям деятельности кредитной организации.

Кредитная организация (или головная кредитная организация банковской группы) обязана организовать управление этим риском в соответствии с внутренними документами, интегрируя его с общей системой управления операционным риском, включая классификацию событий, базу данных и отчетность.

Политика и организационная структура

Кредитная организация определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его исполнение. Этот порядок включает разработку политики информационной безопасности, распределение функций и ответственности между коллегиальным исполнительным органом и работниками с исключением конфликта интересов, назначение должностного лица (или замещающего), ответственного за систему ИБ. Совет директоров и коллегиальный исполнительный орган участвуют в стратегических решениях по управлению риском ИБ, что обеспечивает высокий уровень надзора.

Процедуры выявления и оценки риска

Кредитная организация проводит идентификацию и оценку риска информационной безопасности с использованием методов из главы 2 716-П, включая анализ базы событий, самооценку, ключевые индикаторы риска и сценарный анализ.

Выявляются события риска ИБ, такие как инциденты защиты информации, компрометация объектов инфраструктуры, нарушения из обращений клиентов, контрагентов и работников. Оценка охватывает как количественные, так и качественные аспекты с учетом уровней защиты информации кредитных организаций, а результаты фиксируются в базе событий по главе 6 716-П с классификацией из главы 3 716-П.

Мониторинг, реагирование и восстановление

Мониторинг риска ИБ осуществляется непрерывно через ключевые индикаторы, анализ статистики событий и контроль мероприятий по снижению рисков. Кредитная организация разрабатывает порядок реагирования на события риска ИБ, включая инциденты защиты информации, с планами восстановления деятельности и взаимодействия с Банком России. Обеспечивается обмен информацией об угрозах между участниками процессов и представление данных регулятору.

Ресурсное обеспечение и обучение

Система ИБ подкрепляется ресурсным обеспечением: кадровым (требования к квалификации, включая ответственное лицо) и финансовым. Работники проходят регулярное обучение по противодействию угрозам ИБ для повышения осведомленности. Вводятся программы контроля и аудита, включая независимую оценку уровня защиты объектов информационной инфраструктуры.

Мероприятия по снижению риска и защита

Кредитная организация планирует, разрабатывает, реализует и совершенствует комплекс мероприятий по повышению эффективности управления риском ИБ и уменьшению его влияния в соответствии с уровнями защиты. Мероприятия охватывают защиту от угроз, управление рисками при аутсорсинге функций и использовании внешних ИС, предотвращение несанкционированного доступа внутреннего нарушителя (работники или третьи лица с доступом), контроль распространения банковской тайны и обеспечение операционной надежности. Соблюдаются требования к защите информации при переводах денежных средств.

Интеграция с общей системой

События риска ИБ регистрируются и учитываются в отчетах по главе 4 716-П отдельно (ежеквартальные отчеты), с ежегодной оценкой эффективности процедур уполномоченным подразделением. Подразделение ИБ координируется с подразделением операционного риска, а контрольные показатели уровня риска ИБ включаются в систему по главе 5 716-П и приложению 1 к 716-П.

Управление риском информационных систем

716-П в главе 8 устанавливает требования к управлению риском информационных систем, как риск отказов и (или) нарушения функционирования применяемых кредитной организацией информационных систем, а также несоответствия их функциональных возможностей и характеристик потребностям организации.

Кредитная организация (или головная кредитная организация банковской группы) обязана организовать управление этим риском в рамках общей системы управления операционным риском, включая идентификацию, оценку, мониторинг и меры реагирования с использованием процедур из главы 2 716-П и классификации из главы 3 716-П.

Политика и организационная структура

Кредитная организация разрабатывает во внутренних документах политику управления риском информационных систем, определяющую цели, принципы, процедуры и ответственность органов управления. Коллегиальный исполнительный орган обеспечивает исполнение политики, а совет директоров утверждает ключевые документы и контролирует ее реализацию. Назначается подразделение (или должностное лицо), ответственное за управление риском ИС, структурно входящее в службу управления рисками или координируемое с ней, с исключением конфликта интересов.

Идентификация и оценка риска

Кредитная организация проводит идентификацию риска ИС с использованием методов главы 2 716-П:

  • анализ базы событий;
  • самооценка;
  • ключевые индикаторы риска;
  • интервью и анализ внешних источников.

Выявляются события, такие как сбои ИС, несоответствие характеристик, отказы оборудования, влияющие на процессы. Оценка включает количественную (потери, капитал по ВПОДК) и качественную (сценарный анализ, моделирование угроз) компоненты с учетом уровней защиты информации; результаты фиксируются в базе событий по главе 6 716-П. Критерии существенности событий определяются в документах организаций с пороговыми значениями.

Мониторинг и контроль

Мониторинг ведется непрерывно через ключевые индикаторы риска (КИР) по главе 5 716-П и приложению 1 716-П, включая динамику доступности ИС, времени восстановления, количества инцидентов. Контролируются условия эксплуатации ИС и оборудования, резервное копирование, обновление ПО, тестирование. Разрабатываются планы непрерывности и восстановления критически важных процессов и ИС с ежегодным тестированием по сценариям, интегрируемые в общий план обеспечения непрерывности деятельности.

Реагирование и меры снижения

В течение трех месяцев после оценки выбирается реакция: уклонение (отказ от ИС), передача (аутсорсинг с контролем), принятие в лимитах или меры снижения (автоматизация, резервирование, обучение).

Комплекс мероприятий включает контроль качества ИС, управление изменениями, аудит, требования к поставщикам. Обеспечивается ресурсное обеспечение: кадровое (квалификация специалистов ИТ) и финансовое для поддержания ИС.

Отчетность и оценка эффективности

События риска ИС отражаются в отчетах по главе 4 716-П отдельно от других рисков. Подразделение ИС координируется с подразделением операционного риска, КИР включаются в систему главы 5 716-П.

Уполномоченное подразделение ежегодно оценивает эффективность процедур с отчетом руководству.

Управление риском аутсорсинга

716-П в главе 8.1 посвящено управлению риском аутсорсинга, который определен в пункте 1.4 как риск недостатков организации передачи функций, операций, услуг, процессов и (или) их этапов на выполнение третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), а также риск их ненадлежащего исполнения, включая аутсорсинг информационных систем.

Кредитная организация или головная кредитная организация банковской группы обязана внедрить комплексное управление этим риском в рамках общей системы операционного риск-менеджмента, определяя все элементы во внутренних документах с интеграцией в процедуры глав 2–6 716-П.

Политика и элементы управления

Кредитная организация разрабатывает политику управления риском аутсорсинга, утверждаемую советом директоров, которая устанавливает перечень передаваемых функций, операций, услуг, процессов и этапов (включая критически важные по подпункту главы 4 716-П), порядок их передачи, ресурсное обеспечение (кадровое и финансовое), оценку рисков с соответствующими контрольными показателями уровня риска (КИР по главе 5 716-П), а также подразделения, ответственные за организацию и функционирование аутсорсинга. Политика охватывает полный цикл: от инициирования и принятия решения до выбора и прекращения отношений с третьими лицами, оформления договоров, мониторинга качества и независимой оценки предложений. Коллегиальный исполнительный орган обеспечивает исполнение политики с исключением конфликта интересов.

Идентификация и анализ рисков

При выявлении рисков аутсорсинга проводится анализ внутренних и внешних факторов, включая вероятность сбоев при выполнении критически важных процессов третьими лицами, потенциальные финансовые потери, ущерб деловой репутации, потери средств клиентов и контрагентов, а также влияние на риск нарушения непрерывности деятельности и операционной надежности. Особое внимание уделяется рискам при аутсорсинге критически важных процессов единственному третьему лицу (концентрация зависимостей), стратегическому риску, риску потери репутации, страновому риску (включая трансграничную передачу данных), а также рискам ИБ и нарушения конфиденциальности данных организации и клиентов. Для аутсорсинга ИС дополнительно анализируется целесообразность передачи с учетом вероятности нарушений операционной надежности и требований к защите информации. Результаты фиксируются в базе событий по главе 6 716-П с классификацией по главе 3 716-П.

Оценка и процедуры реагирования

Кредитная организация проводит количественную и качественную оценку риска аутсорсинга с учетом главы 2 716-П, определяя пороговые значения для эскалации и способы реагирования в течение трех месяцев: уклонение (отказ от аутсорсинга), передача (страхование), принятие в лимитах или меры снижения (усиленный контроль, требования к подрядчикам).

При аутсорсинге ИС устанавливаются дополнительные требования к вероятности сбоев, защите данных и планам восстановления. Для критических процессов единственному подрядчику вводятся специальные процедуры выявления и контроля концентрации рисков.

Мониторинг, требования к третьим лицам и отчетность

Мониторинг включает непрерывный контроль качества исполнения, КИР (по приложению 1 716-П), аудит подрядчиков и оценку их систем управления рисками, включая риск непрерывности.

Требования к третьим лицам фиксируются в договорах: наличие собственных систем риск-менеджмента, планы непрерывности, защита данных, отчетность о событиях риска. События аутсорсинга отражаются отдельно в ежеквартальных отчетах по главе 4 716-П. Уполномоченное подразделение ежегодно оценивает эффективность процедур. В банковских группах головная организация обеспечивает консолидацию.

Соблюдение требований 716-П кредитными организациями (головной кредитной организацией банковской группы)

Глава 9 716-П обеспечивает пропорциональность: малые организации фокусируются на ключевых событиях (пороги потерь), крупные – на полном цикле (включая качественную оценку, модельный риск). Все используют классификатор главы 3 716-П, базу главы 6 716-П и КИР приложения 1 716-П. Платежные НКО дополнительно контролируют агентов для минимизации рисков переводов.

Содержание Применение Ключевые требования
Общие положения для кредитных организаций Все кредитные организации и головные КО банковских групп Соблюдение полных требований глав 1–8; учет в процедурах глав 2, 4–6 с пропорциональностью к масштабу (капитал, доходы, процессы).
Упрощенные требования для малых КО КО с капиталом ≤ 25 млрд руб. на начало года Ограничение процедур: идентификация (только анализ событий/самооценка), сбор событий с прямыми потерями ≥ 100 тыс. руб., базовая оценка, мониторинг КИР; база событий по главе 6
Требования для КО с капиталом 25–300 млрд руб. Средние КО Расширенные процедуры: добавляются КИР, интервью, отчеты; события от 50 тыс. руб.; ежегодная оценка эффективности
Требования для небанковских кредитных организаций (НКО) НКО на начало года Частичные требования: главы 1,3,6 + ограниченные подпункты 2.1 (идентификация, сбор событий с потерями, базовая оценка/реагирование только на реализованные события); оценка эффективности по 4.4 ​​
Контроль за банковскими платежными агентами Платежные НКО по ФЗ №161-ФЗ Порядок сбора/анализа информации об агенте; распределение полномочий; выявление/оценка/мониторинг рисков; контроль деятельности; обеспечение переводов при несоблюдении; отчеты органам управления​​
Требования для головных КО банковских групп Группы с участниками Консолидация рисков; передача данных от дочерних (ежемесячно); соотнесение классификаций; управление по главам 1–8 на групповом уровне

716-П содержит приложения с методическими материалами по управлению операционным риском. Ниже таблица с описанием соответствующих приложений 716-П.

Приложения Содержание
Контрольные показатели уровня операционного риска (Приложение 1) КИР по выявлению событий (по центрам компетенций:
% выявленных, сроки регистрации ≤5 дней, полнота сбора);
плановые КИР по объемам операций (сделки, обороты, переводы) и соотношению с потерями.
Требования к расчету, порогам (сигнальные/контрольные), пересмотру ≥1/год
Подходы к расчету объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) на покрытие потерь от реализации операционного риска (Приложение 2) Базовый/продвинутый подходы в ВПОДК: статистика базы событий, модели ожидаемых/неожиданных потерь по направлениям/процессам/видам рисков, корректировки на диверсификацию
Рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска (Приложение 3) 30+ мер:
организационные (регламенты, обучение);
технические (автоматизация, резервирование);
процедурные (КИР, аудит, планы непрерывности);
по видам рисков (ИБ, ИС, аутсорсинг)
Детализированная классификация типов событий операционного риска (Приложение 4) Детализация 7 типов операционного риска:
преднамеренные действия персонала/третьих лиц, кадровые нарушения, ущерб клиентам/активам, сбои систем, ошибки процессов; коды, подтипы для базы событий
Подходы к дополнительной классификации риска информационной безопасности (Приложение 5) Дополнительная классификация событий риска ИБ:
угрозы процессов обеспечения ИБ;
сбои ПО/АС;
несоответствия; типы (утечки, нарушения доступа);
интеграция с базой событий и КИР
Перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы), передаваемых на аутсорсинг (Приложение 6) Перечень аутсорсируемых элементов:
функции (бухучет, ИТ-поддержка);
операции (обработка платежей);
услуги (колл-центр);
процессы/этапы (хранение данных);
требования к рискам аутсорсинга ИС, мониторингу подрядчиков

Некоторые возможные риски несоблюдения требований 850-П:

Несоблюдение требований Положения Банка России № 716-П по системе управления операционным риском влечет многоуровневые риски: от финансовых санкций до потери лицензии и репутационных потерь.​​

1. Регуляторные риски

Банк России проводит проверки соответствия 716-П (ежегодно или внепланово). Выявленные нарушения фиксируются предписанием со сроками устранения. Неисполнение влечет меры по ст. 74 ФЗ № 86-ФЗ:

  • штрафы до 1% уставного капитала (максимум 1% минимального УК);
  • ограничение операций на 6 месяцев;
  • требование финансового оздоровления (изменение активов).

В крайних случаях – отзыв лицензии при угрозе кредиторам.​​

2. Финансовые риски

  • штрафы и пени: до 0,1-1% УК за непредставление/искажение данных, фиксируемых в рамках;
  • увеличение капитала: неверный расчет по Приложению 2 (ВПОДК) приводит к завышенным резервам под операционный риск, снижению ликвидности;
  • потери от инцидентов: рост событий без КИР (Приложение 1), базы событий – прямые/непрямые потери, недополученные доходы.

3. Операционные и репутационные риски

  • инциденты ИБ/ИС: отсутствие процедур по видам рисков – утечки, сбои, что усиливает зависимость от аутсорсинга;
  • потеря доверия: клиенты/партнеры уходят из-за нарушений прав (риск недобросовестного поведения);
  • внутренние сбои: неэффективные меры, самооценка – рост КИР, срыв непрерывности критических процессов.

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией