Внедрение Положения № 716-П: ответы на часто задаваемые вопросы
Даем ответы на вопросы, которые часто возникают у банков при планировании проектов по внедрению системы управления операционным риском (СУОР) в соответствии с Положением № 716-П.
Геннадий Бережной
компания «Квадриум», управляющий партнер
• Как управлять всеми видами операционных рисков, учитывая, что в этом процессе задействовано большое количество подразделений?

• Как наладить взаимодействие подразделений?

• Как рассчитывать размер операционного риска в СУОР?

• Как обеспечить гарантированное отражение потерь по событиям операционного риска в базе данных?
Как известно, в этом году Банк России приступил к глобальной реформе регулирования операционных рисков, в основе которой — внедрение в практику рекомендаций Базельского комитета, опубликованных в декабре 2017 г. Реформа имеет два компонента:

  • установление зрелой практики управления операционным риском, для чего 19 июня было выпущено Положение № 716-П;
  • переход к новому стандартизированному подходу расчета операционного риска, для чего уже выпущен проект положения «О по­­рядке расчета величины операционного риска для включения в нормативы достаточности капитала кредитной организации и осуществления Банком России надзора за его соблюдением».
Требования российского законодательства к СУОР: не только Положение № 716-П
Полную версию статьи читайте в дайджесте 10 лучших материалов о мониторинге ключевых рисков и посткризисном комплаенсе.

Скачать дайджест в формате PDF можно совершенно бесплатно.
Может показаться, что управление операционными рисками регулируется только Положением № 716-П. На самом деле это неверно, потому что уже сегодня операционные риски регламентирует большое количество документов и дальше их будет, по всей видимости, только больше. Эти документы можно условно разделить на три части:

— банковское регулирование;
— федеральное законодательство;
— международные и российские стандарты.

Основополагающими документами по управлению операционными рисками являются Указание № 3624-У[2], которое устанавливает общие требования к системе управления рисками, а также Положение № 716-П, которое углубляет и детализирует требования именно для операционного риска.

Однако если мы посмотрим на задачу управления операционными рисками немного под другим углом, то станет очевидно, что дело не обходится только Положением № 716-П. В п. 1.4 Положения № 716-П сказано, что для целей унификации управления операционным риском выделяется десять видов операционных рисков (и плюс еще три в Указании № 3624-У), процедуры управления которыми выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском (рис. 1).

»
Рисунок 1. Виды операционного риска, процедуры управления которыми выполняют специализированные подразделения

«
Деятельность таких подразделений, как, например, служба внутреннего контроля, служба внутреннего аудита, служба информационной безопасности, служба ИТ, подразделение кредитных рисков, подразделение валидации моделей, подразделение непрерывности бизнеса и т.д., регулируется целым рядом дополнительных документов: Положениями № 242-П[3], № 483-П[4], № 607-П[5], № 382-П[6], № 683-П[7], № 672-П[8] и др.

Поэтому, когда банки задают вопрос: «Как нам контролировать или управлять всеми данными видами рисков, ведь это большое количество подразделений, как наладить взаимодействие подразделений?», то ответ простой: надо реализовать (или внедрить) в банке управление операционными рисками на основании интегрированного подхода.

В основе интегрированного подхода лежит (как это ни банально звучит) система интегрированного управления операционным риском.
Интегрированное управление операционным риском
В рамках системы реализуются:

  • специализированная автоматизация для каждого отдельно взятого вида риска;
  • специализированные интеграционные взаимодействия с различными информационными системами банка для каждого отдельно взятого вида риска.

Для таких систем характерны специализированные механизмы, которые применимы для управления различными видами операционного риска, например:

  • механизм опросников;
  • механизм глобального поиска по всему информационному пространству СУОР, в которое включаются и база данных СУОР, и документация, сопровождающая события операционного риска, и внутренняя нормативная документация;
  • механизмы расширения модели данных;
  • механизмы управления пользовательским интерфейсом;
  • механизмы управления рабочими процессами (BPM);
  • механизмы многоканального оповещения пользователей (e-mail, SMS и др.);
  • средства доступа через мобильные платформы;
  • механизмы аналитической отчетности (куда также можно отнести дашборды, кубы и пр.).

Очевидным компонентом интегрированного управления операционным риском является реализация в системе модели «трех линий защиты».

Модель координирует процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения функций и обязанностей между бизнес-подразделениями, подразделениями управления операционным риском и подразделениями внутреннего аудита.

Для решения задач, связанных с внедрением базельского подхода к управлению операционным риском, мы предлагаем использовать систему IBM OpenPages. Это очень популярная платформа, которую на данный момент используют более 200 крупных организаций по всему миру.

В рамках СУОР IBM OpenPages с целью реализации подхода интег­рированного управления разработаны девять модулей, которые позволяют обрабатывать все виды рисков, регламентированные Положением № 716-П, и дают возможность работать в рамках единого информационного пространства всем подразделениям, причастным к управлению операционным риском.

Систем, которые реализуют принцип интегрированного управления операционным риском, мало. Это подтверждает исследование компании Gartner.

В 2018 г. она отказалась от своего квадрата, который назывался Operational Risk Management Solutions, и сформулировала новые критерии для нового квадрата, который был назван Integrated Risk Management.

В границы нового исследования не был включен ряд компаний, которые ранее считались одними из лидеров рынка, — именно из-за того, что они не соответствовали параметрам понятия интегрированного управления операционным риском. В данном исследовании СУОР IBM OpenPages занимает первое место.
Расчет величины операционного риска
Наверное, главное, ради чего были инициированы изменения в области управления операционным риском, — поддержка расчета величины операционного риска. Это перспективное требование, так как положение «О порядке расчета величины операционного риска для включения в нормативы достаточности капитала кредитной организации и осуществления Банком России надзора за его соблюдением» пока не принято. Но мы, тем не менее, подробно изучили этот документ, чтобы понять: можно ли имплементировать в OpenPages расчет размера операционного риска, не превращая ее в OLAP-систему, то есть в своего рода небольшое хранилище данных, что является совсем неверным шагом с точки зрения теории построения информационных систем.

Для сравнения: если посмотреть на кредитный риск в той форме, как его регламентирует тот же Базель III, то без сбора большого объема разного рода информации из разных информационных систем банка рассчитать его нельзя, и поэтому рассчитывают его, как правило, в хранилищах данных. В результате проведенного анализа мы сделали вывод, что рассчитать операционный риск в системе будет можно.

Банки, сталкиваясь с этой задачей, часто задаются вопросами: «Каким образом предполагается реализовать расчет операционного риска?», «Что для этого потребуется?», «Как будет выглядеть процесс расчета?».

Для начала систематизируем, чего, собственно, от банков хочет Банк России (рис. 2).

»
Рисунок 2. Основные характеристики расчета значения операционного риска

«
Во-первых, расчеты в общем случае нужно будет производить два раза в году: первый — на начало года, второй — в случае наличия СПОД (событий после отчетной даты) в середине года. Также расчет может производиться на любую дату по требованию Банка России. Таким образом, данная отчетность по сути является отчетностью по требованию, а потому банк должен иметь возможность готовить ее оперативно.

Во-вторых, в проекте положения предусмотрено...
Продолжение статьи читайте в дайджесте 10 лучших материалов о мониторинге ключевых рисков и посткризисном комплаенсе.

Скачать дайджест в формате PDF можно совершенно бесплатно.
В него вошли материалы из журнала «Внутренний контроль в кредитной организации» за 2020 г. Перечень статей
Скачать 10 лучших статей о мониторинге ключевых рисков и посткризисном комплаенсе
из журнала «Внутренний контроль в кредитной организации
Ваш E-mail *
Как к вам обратиться *
Компания и должность *
Телефон *
Нажимая на кнопку «Отправить», я даю согласие на обработку персональных данных
10 лучших статей о мониторинге ключевых рисков и посткризисном комплаенсе

Геннадий БЕРЕЖНОЙ, компания «Квадриум»
– Внедрение Положения № 716-П: ответы на часто задаваемые вопросы

Елена РОЗАНОВА, ООО «РИСКФИН»
– Управление операционными рисками: что придется перестроить из-за регуляторной трансформации

Снежана ГАЗИЯН, CIA, AIRC
– (Пост)кризисная эволюция комплаенса: личный комплаенс сотрудников как объект оценки

Михаил КОРНЕЕВ, АО АКБ «ЕВРОФИНАНС МОСНАРБАНК»
– Алгоритм проверки бизнес-процесса кредитования корпоративных заемщиков

Ольга КОЖУМЯЧЕНКО, Андрей ПУГАЧЕВ, ПАО Сбербанк
– Практика аудита Cash Flow-моделей корпоративных заемщиков

Денис КОРОЛЕВ, «Эрнст энд Янг», Анатолий КИЛЯЧКОВ, Центр исследования
проблем безопасности РАН
– Риски высокотехнологичных подделок в финансовой системе

Алексей ЛУКАЦКИЙ, Cisco
– Типовые use cases для SOC в банке: что надо мониторить обязательно

– И еще +3 статьи
Благодарим Вас за интерес к нашим материалам и журналу «Внутренний контроль в кредитной организации»!
© Издательский дом «Регламент».
Ваши персональные данные обрабатываются на сайте в целях его функционирования в рамках Политики в отношении обработки персональных данных. Если вы не согласны, пожалуйста, покиньте сайт.