Отчётность органам управления по СУОР
Отчётность органов управления банка по СУОР: что и кому отчитываться по 716-П, периодичность, обязательный состав разделов, связь с ВПОДК и управленческой аналитикой.
Актуальность проверена: 2026-06-16
Кратко
716-П обязывает банк регулярно отчитываться перед органами управления — правлением и советом директоров (наблюдательным советом) — о состоянии СУОР, уровне операционного риска, событиях, КПУР и мероприятиях. Отчётность — не формальность, а инструмент управленческого решения: именно через неё органы управления принимают или отклоняют мероприятия, устанавливают допустимый уровень риска и получают сигналы о системных проблемах. Слабая отчётность означает, что СУОР формально существует, но не используется.
Нормативная база
- Положение Банка России № 716-П от 08.04.2020, Глава 8 — требования к отчётности.
- Указание Банка России № 3624-У от 15.04.2015 — отчётность в рамках ВПОДК, встраивание ОР в систему управления рисками и капиталом.
- Ответы Банка России по 716-П о составе и форматах управленческой отчётности.
Периодичность и адресаты
| Орган управления | Периодичность | Основание |
|---|---|---|
| Правление (исполнительный орган) | Не реже одного раза в квартал | 716-П, Глава 8 |
| Совет директоров (наблюдательный совет) | Не реже одного раза в год | 716-П, Глава 8 |
| Руководитель службы управления рисками | По внутреннему порядку, оперативно | Внутренние документы банка |
Банк вправе установить более частую периодичность и расширенный состав отчётности. Важно, чтобы данные в отчёте соответствовали фактическому состоянию базы событий и КПУР на дату отчёта.
Обязательный состав отчёта
716-П устанавливает минимальный состав управленческого отчёта по СУОР:
- Оценка уровня операционного риска — общий профиль, динамика, сравнение с предыдущим периодом.
- Данные базы событий — количество событий, суммы потерь, виды риска, источники, направления деятельности.
- КПУР и их динамика — фактические значения, сравнение с пороговыми, случаи превышения и реакция.
- Мероприятия — исполнение ранее принятых мер, новые мероприятия, ответственные и сроки.
- Результаты стресс-тестирования — сценарии, оценки, выводы и связь с мероприятиями.
- Операционная надёжность — значимые инциденты, показатели по 850-П, состояние критичных процессов.
- Риск ИС и ИБ — события, инциденты, уязвимости, нарушения.
- Риск аутсорсинга — существенные события, КПУР по аутсорсингу, результаты пересмотра договоров.
Практическое значение для банка
- Правление принимает решения о ресурсах, мероприятиях и изменениях методологии.
- СД оценивает адекватность СУОР общей стратегии и аппетиту к риску.
- Отчёт фиксирует факт рассмотрения риска органами управления — это важно для надзора.
- Слабый отчёт без динамики и мероприятий — красный флаг при проверке Банка России.
- Несоответствие данных в отчёте и базе событий — признак проблем с качеством СУОР.
Типовые ситуации
- Крупное ИБ-событие произошло в квартале — оно должно отразиться в отчёте Правлению с оценкой потерь и мерами.
- КПУР превысил пороговое значение в середине квартала — у банка должен быть внутренний порядок внеочередного информирования.
- СД не получает годовой отчёт по СУОР — нарушение требований 716-П, риск предписания.
- Мероприятия из предыдущего отчёта не исполнены — следующий отчёт должен содержать объяснение и скорректированные сроки.
- Новый продукт или процесс запущен без оценки операционного риска — это пробел, который должен отражаться в отчётности.
Что должен сделать банк
- Утвердить форму и состав управленческого отчёта по СУОР во внутренних документах.
- Установить график подготовки и представления отчётов правлению и СД.
- Определить порядок внеочередного информирования при существенных событиях или превышении КПУР.
- Обеспечить согласованность данных отчёта с базой событий и КПУР.
- Ввести контроль исполнения решений, принятых органами управления по итогам отчётов.
- Хранить отчёты и протоколы рассмотрения для подтверждения в ходе надзорных проверок.
Риски неправильного применения
Формальный отчёт «для галочки» с агрегированными цифрами без динамики, анализа причин и мероприятий не выполняет управленческую функцию. Если органы управления не принимают реальных решений по итогам отчёта, СУОР превращается в бумажный контур. Часто встречается ситуация, когда отчёт готовится раньше закрытия базы событий — данные не совпадают с финальными показателями квартала. Неочевидная проблема: отчёт правлению есть, а протокола рассмотрения нет — при проверке это квалифицируется как формальное соблюдение требования.
Связанные заметки
- База событий операционного риска
- Ключевые индикаторы операционного риска
- Стресс-тестирование операционного риска
- Контроль качества базы событий
- Роли и ответственность в управлении операционным риском
- 716-П - система управления операционным риском
Вопросы для самопроверки
- Утверждена ли форма и периодичность отчётности во внутренних документах?
- Совпадают ли данные отчёта с фактическими данными базы событий?
- Есть ли протоколы рассмотрения отчётов органами управления?
- Предусмотрен ли порядок внеочередного информирования?
- Как банк подтвердит в ходе проверки факт и содержание отчётности за прошлые периоды?
Источники
Живой сад
Этот текст можно улучшать вместе
Выдели фрагмент в заметке и нажми «Сообщить» — откроется короткая форма с контекстом.
Ниже можно оставить комментарий через Telegram, когда заметка связана с публикацией канала.
Добавь `telegramPostId` в публичную заметку, чтобы здесь появился виджет обсуждения.