Управление операционными рисками: опыт «Ингосстрах-Инвестиции»

Юрий НОГИН, начальник управления риск-менеджмента Управляющей компании «Ингосстрах – Инвестиции»

Управляющая компания «Ингосстрах – Инвестиции» очень серьезно относится к управлению операционными рисками. С самого начала она создавала гибкую базу данных по учету риск-событий и угроз операционного характера, которая позволяла обследовать операционные риски компании в различных разрезах. Решение оказалось удачным с точки зрения внесения последующих изменений в соответствии с Положением Банка России от 15.11.2021 года № 779‑П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности в целях обеспечения непрерывности оказания финансовых услуг».

 

С точки зрения программного обеспечения изначально рассматривались различные варианты (продукты компании Atlassian, самописный вариант MySQL + Python), однако для текущего и ожидаемого в будущем размера компании (порядка 100 операционных рисков в год), а также с точки зрения легкости управления и необходимости установки дополнительного программного обеспечения выбор был сделан в пользу решений на Microsoft Excel. Такое решение, во‑первых, не завязано на облачных ресурсах, доступ к которым может быть запрещен после событий 24 февраля 2022 года, во‑вторых, существенно снижается время на разработку и обучение пользования базой данных, а в‑третьих, позволяет сделать перенос решения на другие финансовые структуры «Ингосстрах – Инвестиции».

Кроме того, была применена модульная структура написания методологий по управлению операционными рисками, включающая в себя как статическую часть (документ MS Word), где описываются подходы и процедуры, а также дан терминологический аппарат, и динамическую (документ MS Excel), где содержатся сведения о критических бизнес-процессах, персоналиях, программном обеспечении и поставщиках услуг с возможностью быстрого внесения изменений без запуска длительной процедуры согласования документа. Был разработан и на данный момент проходит тестирование План обеспечения непрерывности и восстановления деятельности (План ОНиВД) с вышеописанной динамической частью.

В связи с вышеизложенным для УК «Ингосстрах – Инвестиции» переход к поддержке Положения № 779‑П был не слишком затруднителен. Необходимо было разнести ключевые бизнес-процессы в соответствии с логикой технологических процессов, а на основе списка программного обеспечения для выполнения непрерывности деятельности разработать реестр критичной инфраструктуры. Пороговый уровень допустимого времени простоя и/или деградации технологических процессов описан в Приложении к Положению № 779‑П и должен коррелировать со значениями RTO (Время восстановления) и RPO («Точка» восстановления – с какой периодичностью делается обязательный бэкап) из Плана ОНиВД. Схожим выглядит определение инцидента операционной надежности – фактически это риск-событие операционного характера или серия связанных риск-событий, вызванных информационными угрозами и/или сбоями объектов информационной структуры, которые привели к неоказанию или ненадлежащему оказанию финансовых услуг.

Основное взаимодействие по имплементации требований по Положению № 779‑П сосредотачивается между Управлением риск-менеджмента, Управлением по защите активов (Информационная безопасность) и Департаментом информационных технологий. Мы подготовили отдельный документ, который должен был не противоречить, а дополнять Политику управления операционными рисками.

Большей сложностью представляется Положение Банка России от 20.04.2021 года № 757‑П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия незаконных финансовых операций» (Положение № 757‑П). Это связано с тем, что на сегодняшний день в России наблюдается кадровый дефицит специалистов по информационной безопасности, таким образом, нагрузка на сотрудников Управления по защите активов серьезно возросла. Для решения этой задачи были выработаны соответствующие внутренние документы по информационной безопасности, ИТ-решения по логированию (backlog), а в части учета инцидентов защиты информации Управление риск-менеджмента УК «Ингосстрах – Инвестиции» поделилось своим опытом по управлению инцидентами операционной надежности.

В целом задача по соблюдению новых требований Положений № 779‑П и 757‑П сильно зависит от уровня подготовки участника рынка ценных бумаг к управлению операционными рисками. Там, где это носит номинальный характер, скорее всего, возникнут проблемы с тем, чтобы внедрить необходимые метрики и внутренние нормативные документы. Если участник будет вкладывать силы и средства в анализ и контроль нефинансовых рисков своей деятельности с «оглядкой» на международный опыт, сильных сложностей не должно возникнуть.

Основной общей проблемой, с которой сталкиваются все участники рынка коллективных инвестиций и не только, является невысокая риск-культура. Это и сокрытие фактов риск-событий, и негативная коннотация информирования по рискам, что создает сложности для свое-временного реагирования. Что можно сделать? Регулярно обучать своих сотрудников и набраться терпения.

 

Юрий НОГИН, начальник управления риск-менеджмента Управляющей компании «Ингосстрах – Инвестиции»