Из Положения БР № 716-П следует, что ключевая роль и ответственность за риски ИБ и ИС перераспределяется с подразделений ИБ и ИТ на руководство кредитных организаций, а нормы обеспечения информационной безопасности в КО становятся обязательными.

Также из Положения БР № 716-П вытекает необходимость создания центров компетенций по ведению базы событий операционного риска в каждом назначенном для этих целей подразделении КО.

Объём работ только по ведению базы событий можно понять из перечисления в Положении БР № 716-П (п. 6.21) ответственных за это мероприятие:

- перечень должностей работников, ответственных за ведение базы событий;

- перечень должностей работников, предоставляющих информацию для базы событий;

- перечень должностей работников, определяющих потери от реализации событий операционного риска, занесенные в базу событий;

- перечень должностей работников, ответственных за проверку полноты информации в базе событий и сверку счетов бухгалтерского учета с информацией, отраженной в базе событий.

Что касается кадрового обеспечения служб (подразделений) управления рисками, то стоит отметить, что, если Указание Банка России от 15.04.2015 № 3624-У[2] допускало назначение в КО ответственных работников вместо создания подразделения (небольшие КО, как правило, ограничивались одной штатной единицей работника, занимающегося учётом рисков), то в Положении БР № 716–П указано, что наличие самостоятельного подразделения, ответственного за организацию управления операционным риском в КО обязательно (п. 1.3).

Также выполнение требований Положения БР № 716–П призвано способствовать созданию информационной инфраструктуры для управления рисками в КО, так как одним из элементов системы управления операционным риском в КО должна являться автоматизированная информационная система (п. 1.3), обеспечивающая функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий).

Не секрет, что профессиональное управление рисками с использованием современных подходов к оценке рисков осуществляется в основном только в крупных банках. В большинстве небольших КО отчёты по рискам, как правило, агрегируются в таблицах Excel или в самописных ИС. С учётом серьёзности требований Положения БР № 716-П, управление рисками без автоматизированной системы превращается в весьма трудоемкую задачу. По сути, речь может идти о внедрении полноценной, многопользовательской, автоматизированной, банковской системы - только с точки зрения учета убытков.

Ещё одним существенным моментом для кредитных организаций - участников платежной системы Банка России является тот факт, что после вступления в силу Положения БР № 716-П возрастает роль внешних оценок по соблюдению требований других Положений Банка России: № 683-П[3], № 382-П[4], № 672-П[5], так как согласно п.1.2.2 Приложения 1 к Положению БР № 716-П такие оценки входят в перечень качественных контрольных показателей риска ИБ.