Проектный риск
Проектный риск как вид операционного риска по 716-П: риск потерь при реализации проектов изменений, связь с риском ИС, участие СУР в проектном управлении и регистрация событий.
Актуальность проверена: 2026-06-16
Кратко
Проектный риск — риск потерь из-за недостатков в организации или реализации проектной деятельности, направленной на изменение процессов, систем, продуктов или структуры банка. В 716-П он входит в состав видов операционного риска. На практике это означает: ИТ-проект завершился с дефектами и нарушил работу процесса; внедрение нового продукта прошло без оценки операционных рисков; реорганизация создала разрывы в ответственности и контроле. Проектный риск особенно актуален в периоды активного технологического развития и изменений регуляторных требований, когда банк одновременно ведёт много изменений.
Нормативная база
- Положение Банка России № 716-П от 08.04.2020 — проектный риск как вид операционного риска.
- Указание Банка России № 3624-У от 15.04.2015 — встраивание управления рисками изменений в ВПОДК.
- Положение Банка России № 850-П от 13.01.2025 — требования к технологическим процессам, которые могут изменяться в ходе проектов.
- Внутренние документы банка по проектному управлению и управлению изменениями.
Суть требования
Банк должен управлять операционным риском, возникающим в ходе проектной деятельности: оценивать риски значимых проектов до их запуска, включать СУР в процесс согласования проектов с высоким уровнем риска, фиксировать события, связанные с дефектами реализации проектов, в базе СУОР и разрабатывать мероприятия. Внутренний порядок должен определять критерии существенности проекта с точки зрения операционного риска.
Виды проектного риска
| Категория | Типичные проявления |
|---|---|
| ИТ-проекты | Дефекты при внедрении системы, потеря данных при миграции, нарушение интеграций |
| Продуктовые изменения | Новый продукт запущен без тестирования процессов поддержки и учёта |
| Реорганизация | Разрывы в ответственности, процессах, контрольных функциях |
| Регуляторные проекты | Несвоевременное внедрение требований, технические ошибки в адаптации процессов |
| Аутсорсинговые переходы | Миграция функций к подрядчику без обеспечения непрерывности |
| Изменения инфраструктуры | Замена оборудования, переезд дата-центра, смена облачного провайдера |
Практическое значение для банка
- СУР участвует в оценке рисков значимых проектов до принятия решения об их запуске.
- ИТ-блок согласовывает требования к тестированию, откату и контролю качества внедрения.
- Владелец процесса принимает результат проекта и подтверждает готовность к эксплуатации.
- Внутренний аудит проверяет, выполнялась ли оценка рисков изменений.
- События, возникшие при реализации проектов, регистрируются в базе СУОР с указанием связи с проектом.
Типовые ситуации
- Обновление процессинговой системы привело к массовым ошибкам авторизации в первые дни после запуска.
- Миграция данных в новую АБС выполнена с потерей части исторических записей — обнаружено через месяц.
- Реорганизация службы поддержки нарушила процесс обработки претензий, часть заявок потеряна.
- Новый кредитный продукт запущен без настройки бухгалтерского учёта — ошибки в проводках.
- Проект по внедрению требований 851-П выполнен с запозданием — нарушение регуляторных сроков.
Что должен сделать банк
- Установить критерии значимости проекта, при которых требуется оценка операционного риска.
- Включить СУР в перечень согласующих для значимых проектов.
- Определить порядок регистрации событий, возникающих при реализации проектов, в базе СУОР.
- Установить требования к тестированию, плану отката и контролю качества внедрения.
- Связать реестр проектов с перечнем критичных процессов и технологических процессов 850-П.
- После завершения крупных проектов проводить post-implementation review с оценкой реализованных рисков.
Риски неправильного применения
Проектный риск часто «не видит» СУР, потому что проектный офис и ИТ живут в другом контуре. Если проект завершается успешно — никто не регистрирует события. Если с дефектами — события уходят в ИТ-инциденты или претензии без попадания в базу СУОР. Ещё одна проблема: оценка рисков проекта проводится только на старте, а в ходе реализации риск может существенно измениться без пересмотра.
Связанные заметки
- Виды операционного риска
- Модельный риск
- Риск информационных систем
- Риск аутсорсинга
- Критичные процессы и непрерывность деятельности
- База событий операционного риска
Вопросы для самопроверки
- Есть ли в банке критерии, по которым проект требует оценки операционного риска?
- Участвует ли СУР в согласовании значимых проектов?
- Как события, возникающие при реализации проектов, попадают в базу СУОР?
- Проводится ли post-implementation review после крупных изменений?
- Как реестр проектов связан с перечнем критичных технологических процессов?
Источники
Живой сад
Этот текст можно улучшать вместе
Выдели фрагмент в заметке и нажми «Сообщить» — откроется короткая форма с контекстом.
Ниже можно оставить комментарий через Telegram, когда заметка связана с публикацией канала.
Добавь `telegramPostId` в публичную заметку, чтобы здесь появился виджет обсуждения.