Традиционно регуляторные требования Банка России разделяются на требования для кредитных и некредитных финансовых организаций (НФО). Системы требований Положений 683-П и 757-П по защите информации очень схожи и учитывают особенности каждого вида деятельности.
Текущая система требований по управлению операционным риском и операционной надежностью выстроена с существенными различиями. Положение 716-П распространяется только на кредитные организации и головные подразделения банковских групп. Положение 787-П охватывает также кредитные организации и системно опирается на требования Положения 716-П.
Для некредитных же финансовых организаций требования по управлению операционным риском в данный момент не предъявляются. При этом Положение 779-П определяет требования по операционной надежности без отсылки к какой-либо конкретной системе требований по управлению операционным риском, которую можно было бы расширить для выполнения 779-П.
В связи с этим у некредитных финансовых организаций возникает много вопросов о том, как сформировать систему управления событиями операционной надежности. С одной стороны, НФО предоставляется определенная свобода выбора, а с другой — у организаций могут быть опасения по поводу правильности выбранного пути с учетом дальнейших перспектив развития регуляторики.
В данном случае организации могут проектировать и внедрять свои собственные уникальные системы управления операционной надежностью либо брать за основу уже известные мировые или российские практики.
Мы рекомендуем опираться на требования к системе управления операционным риском Положения 716-П, принимать во внимание ГОСТ 57580.3 и адаптировать эти два документа к масштабам и особенностям конкретной организации. Это позволит в дальнейшем с меньшими затратами гармонизировать сформированные системы с ожидаемыми нововведениями в требованиях регулятора.