федеральные законы «О банках и банковской деятельности» и «О Центральном
банке Российской Федерации (Банке России)». Они достаточно объемны, но к нашей тематике относятся следующие изменения:
- Кредитная организация, банковская группа и банковский холдинг обязаны будут ежеквартально публиковать информацию о принимаемых рисках, процедурах их оценки, управления рисками.
- На Совет директоров кредитной организации возлагается обязанность по применению банковских методик управления рисками и моделей количественной оценки рисков, включая оценку активов.
- Кредитная организация (головная кредитная организация банковской группы)
обязана соблюдать установленные Банком России требования к системам
управления рисками и капиталом, внутреннего контроля кредитных
организаций, в банковских группах (это новая статья 111-2). - Кредитная организация обязана создавать резервы на покрытие различных рисков.
- Наконец-то фиксируется правило, что кредитная организация имеет право передавать банковскую тайну зарубеж, в свою головную контору, но «при условии обеспечения последними уровня защиты (соблюдения
конфиденциальности) предоставляемой информации не меньшего, чем уровень
защиты (соблюдения конфиденциальности) предоставляемой информации,
предусмотренный законодательством Российской Федерации«. - Уточняются случаи передачи Банком России банковской тайны иностранным центральным банкам или органам надзора.
- Полномочия на установление требований к системе управления рисками и оценку ее качества возлагаются на Банк России. Он же «устанавливает требования к банковским методикам управления
рисками и моделям количественной оценки рисков, в том числе к качеству
используемых в этих моделях данных, применяемым кредитными
организациями, в банковских группах для целей оценки активов, расчёта
норматива достаточности собственных средств (капитала) и иных
обязательных нормативов«.
Вот так тихой сапой у нас могут сделать обязательными требования Базельского комитета по управлению рисками и резервированию капиталом на их покрытие. От качества управления этими рисками (включая и операционные) будет зависеть сумма, резервируемая кредитной организацией, т.е. исключаемая из операционной деятельности (трогать ее ни-ни). Хорошо управляешь рисками — резерв ниже, плохо — резерв выше, а следовательно меньше возможностей для маневра.
К рискам, методику управления которых сделает обязательной Банк России, относится и операционный риск, который определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Сюда попадают и риски ИТ и ИБ.
У Банка России уже были документы по управлению этими рисками (346-П, 70-Т, 76-Т, 96-Т), но нельзя сказать, что банки активно занимались оценкой операционных рисков. Если же предполагаемый законопроект примут, то у ЦБ появится гораздо больше рычагов давления на подведомственные организации. При этом банки находятся пока в чуть лучшем положении, т.к. те же небанковские кредитные организации (как участники НПС) уже обязаны жить по правилам Банка России. Это вытекает из ст.62.1 закона «О Центральном Банке» и Указания от 25.06.2012 №2840-У «О требованиях к управлению операционным риском небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций». Согласно последнему документу отсутствие или несовершенство системы защиты — это один из операционных рисков.
Нельзя сказать, что планируемые изменения касаются только ИБ. Но теперь внимание к управлению рисками ИБ будет чуть выше (если законопроект примут), а у служб ИБ появится чуть больше перспектив по донесению до руководства своей организации важности тематики ИБ — все-таки резервирование до 15% капитала на покрытие рисков — это большой удар по финансовым показателям кредитной организации. Да и возможности наказания у ЦБ по новому законопроекту расширяются.
Очень интересно…
Получается, что грамотное обоснование бюджета направления ИБ (количественная оценка) может прямо показывать отношение затрат к размеру резерва! Исключая злоупотребления хорошие методики могут просто хорошо продаваться!?