Как соответствовать новым требованиям положения ЦБ РФ «О требованиях к системе управления операционным риском в кредитной организации»
Построенное по методологии Базеля III это Положение регламентирует построение единой и целостной системы управления операционными рисками.
Одним из ключевых элементов ее построения является принцип обеспечения прямой идентификации каждого события операционного риска, принятого к учету в целях определения размера резервов банка.
Исторически в большинстве российских банков идентификация события операционного риска была отделена от информационных систем для расчета связанных с ними потерь. В значительной части из них учет потерь велся в упрощенных обособленных системах, построенных в таблицах Excel или Lotus. Это не позволяет в процессе прохождения проверки со стороны аудиторов ЦБ в рамках контроля выполнения требований нового Положения продемонстрировать расчетную базу для расчета потерь и соотнесенных данных по проводкам.
ИТ системы для управления операционными рисками нового поколения должны позволять благодаря интеграции с другими информационными системами автоматически идентифицировать события операционного риска из АБС, Help Desk и другого ПО, обеспечивать возможность удобной и точной классификации события в соответствии с тремя многоуровневыми классификаторами Положения, поддерживать проведение расследования инцидента, а так же обеспечивать расчет потерь и капитала под риском.
Исторически предлагаемое на российском рынке отечественное и зарубежное ПО для управления операционными рисками принадлежит скорее к платформам «программам оболочкам», которые предоставляют банкам самим на свой страх и риск разрабатывать способы идентификации, классификации и анализа событий операционного риска.
Одним из вызовов при внедрении систем управления операционным риском является ограниченная применимость международного опыта, предлагаемого в качестве шаблона внедрения крупными международными консультационными компаниями, т.к. исторически построение систем управления операционными рисками за рубежом основывается в первую очередь на процедурах самооценки. В условиях российской специфики банковского сектора требуются «умные» и детально отработанные алгоритмы, позволяющие автоматизировано управлять идентификацией событий операционного риска, их классификацией, а так же комплексом мер, направленных на его минимизацию и профилактику. Предусмотренная Положением ЦБ методология классификация событий операционного риска с ее тремя связанными друг с другом многоуровневыми классификаторами так же достаточно сложна для рядового пользователя системы управления операционными и не имеет зарубежных аналогов.
Одной из приоритетных задач построения системы управления операционными рисками в соответствии с требованиями Положения является создание в банке базы статистических данных о событиях операционного риска за период не менее десяти лет. Это требуется для обоснования точности и полноты расчета сигнальных и контрольных значений контрольных показателей на основе статистических данных о событиях операционного риска.
СРОК ПРИВЕДЕНИЯ СИСТЕМЫ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ РИСКОМ БАНКОВ:
БАНКАМ С БАЗОВОЙ ЛИЦЕНЗИЕЙ И НКО ДО 31 ДЕКАБРЯ 2021 ГОДА
Таким образом требования ЦБ РФ «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» можно суммировать следующим образом:
- Необходимо отслеживать источники происхождения инцидента, события Информационной безопасности, Информационных систем, проводки Автоматизированных банковских систем, операции платежных систем;
- Необходимость ведения большой базы расчётных показателей, базирующихся на массиве исторических данных не менее чем 5 лет с использованием данных связанных с операционным риском источников событий;
- Необходимо подтверждать эффективности мероприятий по устранению событий операционного риска на основании данных статистики по инцидентам и мероприятиям;
- Без реализации данных пунктов невозможно обосновать Регулятору правильность расчета Капитала под риском и начисляемые банку резервы.
Привлечение или найм внутренних разработчиков для реализации требований этого положения ЦБ РФ создает следующие риски для Банка:
- Отсутствие у команды разработчиков компетенций в области методологии Базель III по операционным рискам;
- Отсутствие у команды разработчиков понимания идеологии положения ЦБ РФ;
- Не правильная интерпретация критериев аудита ЦБ РФ в части выполнения требований положения;
- Не возможность устранения нарушений выявленных в ходе проверки в сроки, ограниченные положением ЦБ.
Вышеизложенное делает перспективу создание информационных систем управления операционными рисками “своими силами” в рамках требований положения ЦБ РФ очень рискованными.
В случае выявления нарушений, выявленных в ходе проверки в соответствии с пп. 9.1-9.5 данного положения и процедур исправления выявленных нарушений определенных в пп. 9.6 – 9.7 вступает в силу пп. 9.8:
9.8. В случае неисполнения в установленный уполномоченным структурным подразделением Банка России срок предписания Банка России об устранении нарушений, выявленных в системе управления операционным риском кредитной организации, Банк России вправе применять к такой кредитной организации меры, установленные статьей 74 Федерального закона «О Центральном банке Российской Федерации (Банке России)» *.
* В соответствии со статьей 74 федерального закона о центральном банке Российской Федерации №86-ФЗ.
Глава X. Банковское регулирование и банковский надзор
Статья 74. В случаях нарушения кредитной организацией федеральных законов, издаваемых в соответствии с ними нормативных актов и предписаний Банка России, непредставления информации, представления неполной или недостоверной информации, непроведения обязательного аудита, нераскрытия информации о своей деятельности и аудиторского заключения по ней Банк России имеет право требовать от кредитной организации устранения выявленных нарушений, взыскивать штраф в размере до 0,1 процента минимального размера уставного капитала либо ограничивать проведение кредитной организацией̆ отдельных операций, в том числе с головной кредитной организацией банковской группы, головной организацией банковского холдинга, участниками банковской группы, участниками банковского холдинга, со связанным с ней лицом (связанными с ней лицами), на срок до шести месяцев.
В случае неисполнения в установленный Банком России срок предписаний Банка России об устранении нарушений, выявленных в деятельности кредитной организации, а также в случае, если эти нарушения или совершаемые кредитной организацией банковские операции или сделки создали реальную угрозу интересам ее кредиторов (вкладчиков), Банк России вправе:
1. Взыскать с кредитной организации штраф в размере до 1 процента размера оплаченного уставного капитала, но не более 1 процента минимального размера уставного капитала;
2. Потребовать от кредитной̆ организации:
осуществления мероприятий по финансовому оздоровлению кредитной организации, в том числе изменения структуры ее активов;
замены лиц, перечень должностей которых указан в статье 60 настоящего Федерального закона, либо ограничения размера компенсационных и (или) стимулирующих выплат указанным лицам на срок до трех лет;
осуществления реорганизации кредитной организации.