Роли и ответственность в управлении операционным риском
Распределение ролей в СУОР по 716-П: владельцы процессов, служба управления рисками, ИБ, ИТ, бухгалтерия, комплаенс, внутренний контроль и органы управления банка.
Актуальность проверена: 2026-05-28
Кратко
СУОР работает только тогда, когда роли распределены между владельцами процессов, службой управления рисками, ИБ, ИТ, бухгалтерией, комплаенсом, юридическим блоком, внутренним контролем, аудитом и органами управления. 716-П требует не просто назначить подразделение, а обеспечить процедуры выявления, оценки, мониторинга, контроля и отчетности. Владелец процесса не может полностью переложить риск на СУР. СУР задает методологию, но данные рождаются в операционной деятельности.
Нормативная база
- Положение Банка России № 716-П от 08.04.2020.
- Указание Банка России № 3624-У от 15.04.2015.
- Ответы Банка России по 716-П о ролях в СУОР.
Суть требования
Банк должен закрепить роли и ответственность за все этапы управления операционным риском: идентификацию, регистрацию, классификацию, оценку потерь, мероприятия, контроль качества и отчетность.
Практическое значение для банка
- Владелец процесса отвечает за первичные факты и мероприятия.
- СУР отвечает за методологию, базу, контроль и отчетность.
- ИБ отвечает за инциденты и защиту информации.
- ИТ отвечает за системы, надежность и восстановление.
- Бухгалтерия отвечает за учетные суммы и проводки.
- Комплаенс и юристы отвечают за правовые и регуляторные последствия.
- Аудит проверяет эффективность СУОР.
Типовые ситуации
- Спор о том, кто должен зарегистрировать событие.
- ИТ считает сбой техническим, СУР требует запись в базе.
- Бухгалтерия видит потерю, но владелец процесса не передал событие.
- ИБ-инцидент не имеет понятного владельца мероприятия.
Что должен сделать банк
- Утвердить матрицу ролей.
- Определить владельцев процессов и источников данных.
- Закрепить ответственность за качество записи.
- Описать порядок спорной квалификации.
- Настроить отчетность и эскалацию.
- Проверять исполнение мероприятий.
Риски неправильного применения
Если роли не определены, событие зависает между подразделениями. Если СУР становится единственным исполнителем, владельцы процессов перестают управлять причинами. Если бухгалтерия не подключена, суммы потерь становятся неподтвержденными.
Связанные заметки
- 716-П - система управления операционным риском
- База событий операционного риска
- Взаимодействие ИБ и службы управления рисками
- Контроль качества базы событий
Вопросы для самопроверки
- Кто первично регистрирует событие?
- Кто утверждает классификацию?
- Кто подтверждает потери?
- Кто отвечает за мероприятие?
- Как решаются споры между подразделениями?
Источники
- Положение Банка России № 716-П в ГАРАНТ
- Ответы Банка России по Положению № 716-П
- КонсультантПлюс / ГАРАНТ: Указание Банка России № 3624-У, действующая редакция, дата проверки 2026-05-28
Живой сад
Этот текст можно улучшать вместе
Выдели фрагмент в заметке и нажми «Сообщить» — откроется короткая форма с контекстом.
Ниже можно оставить комментарий через Telegram, когда заметка связана с публикацией канала.
Добавь `telegramPostId` в публичную заметку, чтобы здесь появился виджет обсуждения.