Прорабатывать Положение Банка России № 716-П необходимо как можно раньше

Положение Банка России № 716-П вступает в силу 01 октября 2020 года. Кредитные организации страны должны привести свою работу в соответствии с ним уже к 1 января 2022 года. Однако этот документ очень объемный, только описание всех процедур и элементов занимает 132 страницы. По сути это техническое задание. И для того чтобы успеть его выполнить в полном объеме, следует приступить к подготовке уже сейчас. Такое мнение высказывает генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision) Руслан Рахметов. 

Положение № 716-П разработано Банком РФ на основе методологии Базеля III. Оно предназначается для повышения качества управления рисками, что в свою очередь должно привести к укреплению финансовой системы государства. Требования в документе довольно детальные, поэтому при выполнении их всеми кредитными организациями страны Банк России сможет унифицировать, классифицировать показатели в области управления рисками. Рахметов приводит общие новации и особенности, которые касаются создания комплексной СУОР кредитной организации: 

  • Риск информационной безопасности и информационных систем
  • Правовой риск
  • Риски ошибок в управлении проектами и процессах управления, внутреннего контроля
  • Модельный риск
  • Риск потери средств клиентов, контрагентов, работников и третьих лиц
  • Риск ошибок процесса управления персоналом
  • Операционный риск платежной системы

Получается, согласно требованиям нового документа, что риски информационных систем и безопасности теперь входят в состав управления операционными рисками. Это приводит к необходимости осуществления лучшей информационной безопасности. Объясняется это тем, что чем чаще будут происходить риски, тем больше будет финансовых потерь и влияния на коэффициенты расчета резервного капитала, который выделяется на их покрытие. 

Будет два варианта ведения учета событий рисков ИБ и ИТ. Первый – когда создается единая база для рисков всех видов. Второй – рисковые события ИБ и ИТ происходят в отдельных базах подразделений. При этом должно обеспечиваться соединение между этими департаментами. 

Основные элементы СУОР: процедуры, классификаторы, базы событий, контрольные показатели, подразделения, автоматизированная инфосистема. Процедуры включают идентификацию, сбор и регистрацию ОР, проведение количественной и качественной оценок уровня ОР, определение потерь и возмещений при регистрации событий ОР, мониторинг, выбор и применение способов реагирования ОР.

Все процедуры в Положении описаны подробно. Есть нюансы, на которые стоит обратить внимание. К примеру, в процедуре сбора и регистрации могут использоваться три способа: автоматизированный, неавтоматизированный и ввод информации по алгоритмизированным правилам. 

Методологию по качественной оценке документ не предоставляет. Он предписывает разработать методы кредитными организациями самим. При этом требуется анализ сценарного типа не только в отношении выявленных ОР, но и источников ОР, которые могут реализоваться с определенной вероятностью. 

В части процедуры реагирования на ОР предусмотрены варианты: уклонение от риска, передача риска, принятие риска, а также принятие определенных мер. 

Результирующая процедура – это мониторинг операционных рисков. Устанавливаются ключевые индикаторы риска, проводится контроль их уровня, анализ статистики, а затем выполнение мероприятий и мер. Также предусматривается проведение общей оценки управления ОР, создание по этому поводу отчетов каждый квартал и год. 

Как отмечает Рахметов, учитывая участие большей части подразделений и унифицированный подход, будет целесообразно использовать автоматизированную систему, к примеру, Security Vision. Эта программная платформа, по словам эксперта, активно используется в крупнейших банках, а сейчас дополняется в соответствии с новым Положением.

Оставить комментарий