1 октября вступают в силу новые требования Банка России по управлению операционными рисками в кредитных организациях. Призванные повысить эффективность управления рисками и, как следствие, укрепить защищённость финансовой отрасли в целом, данные требования предусматривают большой объём работ в области информационной безопасности — в том числе и в части автоматизации процессов управления рисками (risk management).
Введение
С учётом того, что кредитно-финансовые организации, в первую очередь банки, находятся «на передовой» борьбы с киберпреступностью и являются для злоумышленников мишенью номер один, включение операционных рисков в сферу контроля и регулирования ЦБ является весьма своевременным шагом, отвечающим тем вызовам, которые стоят сейчас перед финансовой отраслью. Вышедшее Положение задаёт структуру управления, направленного на выявление существенных факторов риска и оперативное принятие решений по ним в целях снижения риска и возможных потерь, и, что важно, делает такое управление обязательным.
Заметным плюсом Положения наряду со своевременностью является и его максимальная конкретизация: чёткое и детализированное описание всех элементов и процедур системы управления операционными рисками (СУОР) занимает 132 страницы и может рассматриваться, по сути, как дорожная карта. Побочным, но тем не менее весьма важным результатом столь глубокой детализации требований станет приведение всех кредитных организаций к унификации процедур, классификаторов и показателей в области управления операционными рисками.
Положение № 716-П было разработано Банком России на основе методологии, предложенной в Basel III — пакете реформ банковского регулирования, которого придерживаются передовые страны мира при организации и совершенствовании сферы управления рисками в банковской отрасли.
Особенности создания комплексной СУОР, предусмотренные Положением
Как и многие другие документы регуляторов, Положение № 716-П предусматривает дифференцированный подход к реализации тех или иных требований в зависимости от лицензии и размера активов кредитной организации. Сфокусируемся на тех особенностях и новациях в части создания комплексной СУОР, которые согласно Положению № 716-П являются общими для всех кредитно-финансовых организаций.
Операционный риск рассматривается Положением № 716-П как совокупность множества рисков, куда входят:
- риск для информационной безопасности;
- риск для информационных систем;
- правовой риск;
- риск ошибок в управлении проектами;
- риск ошибок в управленческих процессах;
- риск ошибок в процессах осуществления внутреннего контроля;
- модельный риск;
- риск потерь средств клиентов, контрагентов, работников и третьих лиц;
- риск ошибок процесса управления персоналом;
- операционный риск платёжной системы.
Таким образом, теперь риски для информационной безопасности и риски для информационных систем входят в состав управления операционными рисками и, что важно, напрямую влияют на размеры достаточности капитала. Безусловно, этот шаг, продиктованный современными реалиями, повышает значимость обеспечения информационной безопасности в кредитно-финансовой сфере. То есть чем ниже будет уровень обеспечения информационной безопасности организации, тем чаще в ней будут происходить рисковые события, приносящие финансовые потери и влияющие на коэффициенты, связанные с расчётом резервного капитала, выделяемого на покрытие рисков.
Документ предусматривает два варианта ведения учёта событий рисков ИБ и ИТ. Первый вариант — когда в кредитной организации ведётся общая единая база событий операционных рисков всех видов. Второй вариант — когда учёт рисковых событий ИБ и ИТ происходит в отдельных базах подразделений, но здесь подразделениям ИБ и ИТ в любом случае необходимо соблюдать общие требования к классификации и ведению базы событий. Должно быть обеспечено взаимодействие между ИТ- и ИБ-департаментами с одной стороны и службой управления рисками — с другой, и отчёты ИБ- и ИТ-департаментов по рисковым событиям должны оперативно передаваться в службу управления рисками.
В качестве основных элементов СУОР документ описывает процедуры, классификаторы, базу событий, контрольные показатели, подразделения, автоматизированную информационную систему и прочие дополнительные элементы (перечень процессов кредитной организации, политики, внутренние документы, мероприятия, отчёты). К процедурам Положение относит:
- идентификацию ОР различными способами;
- сбор и регистрацию событий ОР различными способами;
- определение потерь и возмещений при регистрации событий ОР;
- проведение количественной оценки уровня ОР;
- проведение качественной оценки уровня ОР;
- выбор и применение способов реагирования на ОР;
- мониторинг ОР, в том числе ключевых индикаторов риска (КИР).
Все семь процедур описаны в документе достаточно подробно. Для идентификации ОР перечислен ряд источников, некоторые из которых могут предоставлять очень ценную информацию. В процедуре сбора и регистрации событий ОР предусмотрены три способа: автоматизированный, неавтоматизированный (экспертное мнение), ввод информации по алгоритмизированным правилам. Далее происходит отсылка к процедурам определения потерь, возмещений и последующего проведения количественной оценки уровня ОР.
В процедуре качественной оценки также предусмотрен сценарный анализ. В сущности, это — процесс, основной принцип действия которого заключается в моделировании возможных ситуаций и последующей оценке рисков на основе выводов, сделанных по результатам. Точную методологию документ не предоставляет и предписывает разработку методов кредитной организацией самостоятельно, с фиксацией во внутренних документах. При этом требуется проводить сценарный анализ в отношении выявленных ОР, а также источников ОР, которые не реализовались в кредитной организации, но у которых есть вероятность реализации с высоким уровнем потерь.
В части процедуры реагирования на ОР предусмотрены следующие способы: уклонение от риска, передача риска, принятие риска, а также принятие мер, рекомендуемый перечень которых представлен в приложении 3 Положения № 716-П.
Результирующей процедурой является мониторинг операционных рисков. Здесь кредитной организацией устанавливаются ключевые индикаторы риска (КИР) и контролируется их уровень, проводится анализ статистики событий ОР, контролируется выполнение мероприятий и мер. Кроме того, в рамках данной процедуры предусмотрено проведение общей оценки эффективности управления операционным риском, а также формирование ежеквартальных и годовых отчётов.
Выводы
Очевидно, что для соблюдения требований Положения многие финансовые организации должны будут повысить уровень автоматизации своих систем управления рисками, особенно в части процессов сбора данных о рисках, их оценки, накопления, формирования отчётности. Тем же игрокам финансового рынка, чей риск-менеджмент находится на высоком уровне автоматизации, предстоит существенно актуализировать имеющиеся процессы. Учитывая, что СУОР в редакции 716-П предполагает участие большей части функциональных подразделений кредитной организации и унифицированный подход, в обоих вышеупомянутых случаях целесообразно применять одну единую комплексную автоматизированную систему, в которой будут выстроены все процессы управления операционными рисками.
Программная платформа Security Vision успешно применяется в крупнейших банках, в том числе и для регистрации и обработки операционных рисков. Мы проводим работы по дополнению модуля в соответствии с новым Положением Банка России в информационных структурах наших заказчиков. Благодаря гибкости Security Vision задача носит штатный характер, и адаптация у заказчиков будет завершена к концу года.
