Не так давно кредитные организации столкнулись с новыми требованиями к управлению операционным риском, часть которых составляли требования к противодействию риску информационной безопасности и риску информационных систем. Теперь каждой финансовой организации предстоит реализовать меры к надёжному функционированию рабочих процессов в условиях сбоев и возможных нештатных ситуаций, что отчасти схоже с требованиями 7 и 8 глав Положения Банка России от 8 апреля 2020 г. N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – 716-П).
В этой статье мы рассмотрим понятие операционной надёжности и его значение для финансовых организаций, изучим новые положения Центрального Банка и отметим их критичные моменты.
Операционной надёжностью называют возможность отдельного технологического процесса (далее – процесс) или организации в целом непрерывно выполнять свою работу в условиях сбоев и иного негативного влияния (внешнего или внутреннего). Иными словами, это способность сохранять рабочие функции несмотря на какие-либо препятствия.
Обеспечение надёжной и непрерывной работы — чрезвычайно важный аспект для любого предприятия, ведь от этого напрямую зависит количество произведённого товара, реализованных услуг и, в конце концов, полученной прибыли. Поэтому операционная надёжность в той или иной мере реализуется в каждой финансовой организации, новые положения только расширят перечень требований к обработке и защите данных, а также добавят меры к управлению операционной надёжностью.
Первой частью системы управления операционной надёжностью можно назвать сумму требований, предъявляемых к составным частям процессов на всех этапах их существования, которые должны способствовать непрерывной работе данных процессов.
Второй частью системы управления операционной надёжности можно назвать систему специальных показателей и их пороговых значений.
Один из важнейших элементов управления это контроль и получение обратной связи от предмета воздействия. В деле управления операционной надёжностью для этой цели применяется ряд показателей, значения которых должны изменяться в случае неэффективного противодействия задержкам процесса. В ходе контроля сравнивается фактическое значение специальных показателей и заранее определённое пороговое значение такого показателя, превышение которого говорит о неэффективности применяемых мер и необходимости пересмотра существующей системы управления операционной надёжностью.
Новые положения Центрального Банка содержат требования к обеим частям данной модели управления. Новыми документами в области управления операционной надежности являются:
Положения имеют разную область действия (779-П предъявляет требования для некредитных финансовых организаций (далее – НФО), 787-П — для кредитных), но содержат большое количество аналогичных требований.
Рассмотрим фрагменты, которые обязательны к выполнению для всех финансовых организаций, после отметим существенные различия.
Для всех финансовых организаций обязательно создание системы специальных показателей операционной надёжности. В них входят:
В рамках системы целевых показателей необходимо обеспечить:
Другой характерной частью в обоих положениях является требование к идентификации и учёту так называемой критичной архитектуры – подразделений, лиц, объектов информатизации и поставщиков услуг, задействованных в работе процессов и самих процессах (исчерпывающий перечень элементов, составляющих критичную архитектуру приведён в положениях). Для внесения изменений и управления критичной архитектурой положения предъявляют отдельные требования.
В положениях также содержится большое количество отдельных требований, направленных на повышение надёжности (например требование противостоять угрозам зависимости от поставщиков услуг или зависимости организации от сотрудников с уникальными компетенциями, требования к информированию Банка России об инцидентах операционной надёжности).
Для набора требований 787-П характерна обширная интеграция с требованиями 716-П. Предполагается, что система управления операционной надёжностью должна стать частью системы управления операционным риском.
Так, например, инциденты операционной надёжности необходимо регистрировать с учётом требований главы 6 Положения № 716-П, то есть так же, как и все инциденты операционного риска.
В 787-П отражены требования к операционной надежности. В частности в п.6 Положения № 787-П представлены требования к операционной надежности, включающие требования к целевым значениям, идентификации и управления элементами, выявлению и регистрации инцидентов, восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры, взаимодействие с третьими лицами, тестированию операционной надежности, сценарного анализа и другие.
Так как Центральный Банк не предъявляет требований по управлению риском для НФО, то и требования к операционной надёжности могут быть реализованы в виде отдельной системы. Нераспространение требований 716-П на меры для НФО серьёзно упрощает реализацию системы управления операционной надёжностью.
Также стоит отметить отдельную главу, содержащую небольшое количество специфических требований для операторов информационных систем, обеспечивающих выпуск и обмен цифровых финансовых активов, в том числе на основе распределённого реестра (защита среды исполнения сделок, защита узлов распределённого реестра, применение надёжных алгоритмов для защиты от различий в базах данных распределённого реестра, а также защиту информационной системы от сетевых атак).
Реализация надёжного выполнения основных процессов не является новой задачей для финансовых организаций. Тем не менее, меры к обеспечению операционной надёжности, предъявляемые новыми положениями Центрального Банка, требуют серьёзных корректировок внутренней документации и (вероятно) выделения новых технических и кадровых ресурсов. Требования положений вступают в силу с 1 октября 2022 года, а значит необходимо разумно распорядиться временем, оставшимся на реализацию необходимых мер.