Положение 716-П: как соблюдать. Обзор требований ЦБ РФ

Новое положение 716-П: для кого и зачем
Если вы представляете кредитную организацию и до сих пор не выполняете требования Положения Банка России №716-П, времени осталось не так много. К 1 января 2022 года все кредитные организации должны полностью соответствовать требованиям этого документа. Разбираемся, что такое положение 716-П и что именно от вас требуется.

В чем суть
Центробанк разработал это положение в 2020 году, чтобы реформировать политику регулирования операционных рисков. Положение регламентирует две важные части деятельности — документы и процессы. Чтобы соответствовать требованиям, компания должна не просто продемонстрировать утвержденные процессы, но и показать, что она их успешно выполняет. 716-П относится ко всем кредитным организациям кроме центрального контрагента и центрального депозитария.

Что нужно сделать
В конечном итоге все риски, которые несет кредитная организация — это деньги. Основной посыл 716-П — «Если вы не закрываете риски, вы должны выделять какое-то количество денег на компенсацию ущерба своим клиентам».  
То есть, организации необходимо выделить деньги для покрытия возможных убытков. Размер этой «страховки» можно рассчитать как на нормативной основе, так и на основе оценки величин потенциальных потерь.
Также нужно выстроить внутренние процессы так, чтобы полностью контролировать ИБ, ИС и сами операционные риски. Для этого важно, чтобы следующие специалисты эффективно взаимодействовали между собой:
  • Риск-менеджеры. Их задача — понимать, чем грозит компании неисполнение требований регуляторов.
  • Специалисты по ИБ. Важно, чтобы их стремление к безопасности было не в ущерб удобству.
  • ИТ-специалисты. Они ответственны за работу важнейшей части компании — информационных систем.
Кроме того, 716-П требует создания отдельного коллегиального исполнительного органа. Необходимо разработать шкалу оценки эффективности системы управления и утвердить показатели уровня операционного риска, которые будут считаться критическими.
Если говорить прямо, реализовать всю эту структуру в соответствии со всеми требованиями достаточно сложно. Для этого многие компании должны пройти через болезненные процессы преобразования. Если получится уложиться в год, то это уже очень хороший результат.

Возможные риски
В положении 716-П перечислены основные виды рисков, которые нужно предусмотреть и предотвратить. Они относятся к следующим областям:
  • информационная безопасность;
  • право;
  • управление проектами;
  • корпоративные процессы;
  • процессы внутреннего контроля;
  • денежные средства клиентов, контрагентов, работников и третьих лиц;
  • управление персоналом;
  • работа платежной системы.
Все актуальные для вашей компании риски нужно строго систематизировать: источники, типы событий, направления деятельности и виды потерь. Также нужно вести информационную базу со строгим учетом событий безопасности. Риски в соответствии с 716-П могут относиться как к самой сфере ИБ, так и к системе управления ИБ. События в каждой из этих двух категорий оцениваются по-разному.
Кроме того, нужно регулярно проводить количественную и качественную оценки уровня операционного риска. В ходе этих процедур, например, требуется оценить масштабы потенциальных финансовых потерь от инцидентов безопасности, а также прогнозировать вероятность таких сценариев.

Организации также нужно создать и на постоянной основе обновлять информационную базу данных о событиях операционного риска и потерях. База ведется в разрезе участников банковской группы, структурных подразделений, видов операций и элементов. Она строго формализирована, но разрешается использовать любую систему, которая прошла оценку соответствия.
Фактические финансовые потери от событий операционного риска во всех официальных документах нужно проводить как потери за вычетом суммы возмещения.

Процедуры
Финансовая организация обязана официально утвердить набор процедур для соответствия требованиям, а также выделить ресурсы для их реализации. Среди этих процедур:
  • идентификация рисков;
  • отслеживание событий и финансовых потерь;
  • определение и возмещение потерь;
  • самооценка рисков не реже одного раза в год;
  • выбор и внедрение способов реагирования на события операционного риска.
Также необходимо детально прописать типы событий, которые потенциально могут произойти. Среди них, например, могут быть такие:
  • преднамеренные действия сотрудников и третьих лиц;
  • нарушение безопасности труда и кадровой политики;
  • нарушение прав контрагентов и клиентов;
  • нарушения работы оборудования и сбои систем;
  • материальный ущерб и другое.
Кроме того, важно прописать виды потерь. Они бывают прямые, то есть отраженные в бухгалтерском учете, и непрямые, которых в бухучете нет.

Разный масштаб — разные требования
Конкретные требования зависят от размера вашей организации и суммарного объема ее активов. Вот разбивка:
  • Небанковские кредитные организации. Они должны выполнять общие положения документа, классифицировать операционные риски, вести информационную базу событий, также есть ряд отдельных требований.
  • Банки с базовой лицензией. Они должны выполнять все предыдущие требования, но дополнительно обязаны вести учет контрольных показателей, а также внедрить управление риском ИБ.
  • Банки с универсальной лицензией и активами до 500 млрд рублей. Дополнительно к предыдущим требованиям от них требуется внедрить управление риском информационных систем, а также дополнительные элементы системы управления операционным риском кроме автоматизации.
  • Банки с универсальной лицензией и суммой активов более 500 млрд рублей. Им дополнительно необходимо отвечать требованиям к автоматизации управления рисками.
Чтобы соответствовать Положению 716-П, вашей компании нужно внедрить глубоко проработанный подход к управлению операционным риском. Для разработки методологии в части ответственности подразделений и контроля событий вам потребуется множество ресурсов, которыми нужно грамотно распорядиться. Но намного надежнее обратиться для решения этой задачи к опытным специалистам. Аудиторы ITGLOBAL.COM Security готовы помочь вам определить характер угроз информационной безопасности, дать рекомендации по организации системы ИБ и доработать документы до уровня, отвечающего требованиям Положения 716-П.
716-П ЦБ РФ регулирование требования регуляторов
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь

ITGLOBAL

ITGLOBAL.COM Security про информационную безопасность в различных сферах и отраслях. Мы про Реальную ИБ