МОСКВА, 18 сен — ПРАЙМ. Банк России планирует с 1 января 2020 года начать проводить оценку качества системы управления операционными рисками кредитных организаций, в том числе киберрисками, следует из опубликованного регулятором проекта положения "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
Проект устанавливает требования к политике кредитной организации в сфере информационных технологий и к управлению операционным риском, риском информационной безопасности (включая киберриск) и риском информационных систем, а также определяет подходы к дополнительным требованиям к капиталу в рамках внутренних процедур оценки достаточности капитала, необходимого на покрытие потерь от реализации операционного риска, в том числе киберриска.
"Предполагается, что нормативный акт Банка России вступит в силу с января 2019 года, действие проекта будет распространяться на кредитные организации и банковские группы…. Требование по проведению Банком России оценки качества системы управления операционным риском будет применяться с 1 января 2020 года. Это необходимо для того, чтобы кредитные организации в течение 1 года успели привести свои системы управления операционным риском и информацию, содержащуюся в базах данных о событиях операционного риска, в соответствие с новыми требованиями", — говорится в пояснительной записке к проекту.
В приложении к проекту прописаны подходы, согласно которым банки будут рассчитывать объем необходимого капитала для покрытия операционного риска. Банк в зависимости от масштаба и характера деятельности сможет выбирать один из двух подходов: регуляторный на основе положения ЦБ или продвинутый. Согласно продвинутому подходу, банк будет рассчитывать необходимый капитал на базе внутренних моделей количественной оценки потерь от реализации операционного риска на основе статистики базы данных о событиях операционного риска и событий риска информационной безопасности. Банки, которые захотят использовать второй подход, должны будут использовать статистику за период не менее 5 лет.
Также документ содержит требования к ведению базы данных о событиях операционного риска, включая риск информационной безопасности, для внедрения в перспективе нового стандартизированного подхода к оценке операционного риска для расчета норматива достаточности капитала (Базель III). Кроме того, проект положения определяет порядок проведения Банком России оценки качества системы управления операционным риском в кредитных организациях, а также полноты и качества базы данных о событиях операционного риска, в том числе риска информационной безопасности в кредитных организациях.
Впервые о необходимости введения требований к достаточности капиталов банков по кибербезопасности заявили топ-менеджеры ЦБ в феврале 2017 года. Изначально планировалось ввести такое регулирование в третьем квартале 2017 года. Начальник управления департамента банковского регулирования ЦБ Михаил Бухтин в феврале текущего года сообщил, что ЦБ РФ планирует начать регулировать киберриски в рамках дополнительных требований к капиталу банков, необходимому на покрытие киберрисков в составе операционных рисков в соответствии с внутренними процедурами оценки достаточности капитала (ВПОДК), уже с 1 января 2019 года, а с 2020 года банки начнут оценку этих рисков.
