Центробанк требует операционной надежности: как исполнить предписания регулятора №787
В 2020 г. Банк России приступил к глобальной реформе регулирования операционных рисков, и сегодня начинает требовать от участников рынка максимальной операционной надежности. Особенно актуальной тема рисков стала в 2022 г. — на фоне форсированного импортозамещения, отключения российских организаций и систем международных платежей и турбулентной ситуации с кибербезопасностью. Как выполнить требования регулятора и причем тут промышленная автоматизированная система, CNews рассказали представители группы «Финист-Софт».
Управлять операционными рисками
Чтобы понять, чего от банков хочет регулятор, необходимо для начала определиться с основными понятиями.
Так, управление операционными рисками или Operational Risk Management — это непрерывный циклический процесс, который включает оценку рисков, принятие решений о рисках и внедрение средств контроля рисков. Все это в совокупности смягчает или предотвращает негативные последствия, связанные с человеческим и технологическими факторами.
Операционная надежность, в свою очередь — это обеспечение непрерывности выполнения критически важных процессов организации, при возникновении сбоев на объектах информационной инфраструктуры.
В 2020 г. Банк России инициировал глобальную реформу регулирования операционных рисков. В ее основе — рекомендации Базельского комитета, опубликованные в декабре 2017 г. Чтобы контролировать все риски, регулятор советует финансовым внедрить интегрированный подход — его принципы описаны в Положении Банка России от 8 апреля 2020 г. № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
В середине 2022 г. кредитные и некредитные финансовые организации страны, согласно другому, более подробному, положению регулятора (№787-П), должны были разработать и внедрить систему управления операционной надежностью.
К слову, задача стала еще более актуальной на фоне общей макроэкономической и системной неопределенности, усиления хакерских атак на российские банки и новых требований по информационной безопасности и импортозамещению к объектам с критической инфраструктурой.
Что регулятор хочет от банков
Что же предписывает Банк России для финансовых организаций в Положении №787-П?
В части информационных технологий отмечается, что банки не должны превышать допустимое отношение общего числа банковских операций, совершенных во время нарушения технологических процессов, что приводит к некачественному оказанию банковских услуг. Указан также лимит по времени простоя и деградации технологического процесса по каждому инциденту операционной надежности.
Кроме того, банк должен организовать учет и контроль всех технологических процессов и взаимосвязей финансовой организации с другими организациями в рамках этих процессов.
Что касается информационной безопасности, банк обязан управлять уязвимостями в критичной архитектуре, быть осведомленным об актуальных угрозам. А еще — применять меры к участникам технологического процесса, чтобы не допустить несанкционированного использования предоставленных им полномочий.
Если говорить об операционных рисках в целом, банк не должен превышать допустимое время простоя и деградации технологических процессов финансовой организации по инцидентам операционной надежности. От него требуется также выполнять различные требования. Например, к порядку определения значений целевых показателей операционной надежности, к идентификации состава элементов критичной архитектуры и управлению их изменениям, к тестированию операционной надежности технологических процессов.
Что такое интегрированный подход
«Если говорить об интегрированном подходе в системе управления операционными рисками и рисками операционной надежности, многие банки до сих пор ориентируются исключительно на требования регулятора: минимальная методология, минимальная автоматизация, даже ведение баз данных в «плоских таблицах» Excel — что лишь увеличивает долю ошибок сотрудника, который их заполняет», — говорит представитель компании «Финист-Софт».
Эксперты «Финист-Софт» отмечают, что банкам сегодня необходимо работать над повышением операционной надежности на трех уровнях.
Верхний уровень: обозначить принципы и цели процесса.
«Принципы и цели процесса формируются на уровне руководства. Топ-менеджмент должен понимать всю важность операционной надежности в столь быстро меняющемся мире, где любой простой грозит потерей репутации, клиентов и доходов», — отмечает представитель компании «Финист-Софт».
Средний уровень: организовать методологию и аудит.
Методология по обеспечению информационной надежности заключается в комплексе внутренней нормативной документации, в которую включены политики, регламенты, методики. Они, в частности, описывают подразделения, которые в этом процессе задействованы: бизнес-подразделения, спецподразделения, служба внутреннего контроля и служба внутреннего аудита.
Также должны быть указаны процедуры управления операционной надежностью: идентификации инцидентов, регистрации, оценки, методов реагирования и мониторинга. Описаны должны быть и базы данных, в которых ведется сбор и учет информации об инцидентах, проанализировать стоит, как эти базы данных интегрированы в информационные системы организации.
Нижний уровень: решить вопрос с финансированием, кадрами и программным обеспечением. Этот вопрос можно решать самостоятельно или с привлечением сторонних организаций.
Зачем нужна автоматизация
В то же время стоит понимать, что систему управления риска нужно строить с помощью автоматизированного комплекса. И не для того, чтобы просто отчитываться перед регулятором, а чтобы видеть картину в режиме реального времени, адекватно оценивать угрозы и защищать свои бизнес-процессы от форс-мажоров.
Так, лишь с помощью промышленной автоматизированной системы можно решить такие задачи как эффективное корпоративное управление, управление операционным риском, планирование непрерывности деятельности. Она также позволяет управлять риском ошибок в проектах, событиями нарушениями непрерывности, рисками и зависимостью от третьих лиц, рисками информационной безопасности.
Однако разработка собственного решения сегодня довольно рискованна, так как у финорганизаций обычно нет опыта в подобных вопросах. А это чревато неверным выстраиванием процессов и ошибками при создании программного обеспечения и его сопровождения.
В качестве примера программного решения для такой автоматизации можно рассмотреть модуль «Финист-ОперРиск» группы «Финист-Софт», который входит в реестр отечественного ПО Минцифры.
Так, модуль включает в себя функционал по формированию баз данных по инцидентам и событиям операционных рисков и рискам операционной надежности. У решения есть интеграции с множеством внутрибанковских систем для автоматизированного сбора информации.
В системе может работать неограниченное число сотрудников — при этом все правила разграничений прав доступов и безопасности будут соблюдены. Модуль построен на BPM-платформе (Low-code) и позволяет расширять функциональность силами бизнес-аналитиков организации.
■ Рекламаerid:Pb3XmBtztAJqm92wieVtZZZ3YXHMkSviuDHfncvРекламодатель: ООО НПК «Финист-софт»ИНН/ОГРН: 1658105371/1081690080790Сайт: http://www.finist-soft.ru/