№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
1. Следует ли отражать косвенную потерю, если комиссия изначально не начислялась и не взималась с клиента по причине ошибки на стороне кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), после обнаружения ошибки комиссия была отражена на счетах бухгалтерского учета по методу начисления, а далее списана, как просроченная задолженность без предъявления клиенту? Является ли налог, уплаченный кредитной организацией на комиссии, которые она не взимала вследствие ошибки, последствием события операционного риска?
2. Следует ли отражать косвенную потерю, если происходит начисление комиссий в одном отчетном периоде и списание за счет расходов в последующих отчетных периодах (например, клиент закрыл договор эквайрингового обслуживания в 2020 году, но по ошибке сотрудника комиссия продолжала начисляться, в 2021 году выявлена ошибка и произошло списание сумм комиссии за счет расходов банка 2021 года)?
3. Обязан ли банк с базовой лицензией регистрировать в базе событий события операционного риска с непрямыми потерями?
4. Является ли возврат ошибочно списанных комиссий с клиента кредитной организации посредством проведения исправительной записи в бухгалтерском учете прямой потерей кредитной организации, или событие, связанное с ошибочным списанием комиссии с клиента и ее последующим возвратом посредством проведения исправительной записи в бухгалтерском учете, необходимо классифицировать как событие с потенциальными потерями?
Ответ
от 17.05.2022 № 716-P-2022/75
По вопросу 1.
Из приведенного описания следует, что в кредитной организации был реализован источник операционного риска в соответствии с пунктом 3.3 Положения Банка России
По вопросу 2.
Приведенное описание примера относится к событию операционного риска с потенциальными потерями, поскольку излишне начисленную сумму комиссии можно рассматривать как потенциальный доход кредитной организации, полученный в результате реализации события операционного риска, состоящего в ошибке сотрудника. Рекомендуем регистрировать указанные события операционного риска в базе событий в случаях фактического возврата кредитной организацией клиенту излишне списанных сумм комиссий после их выявления (например, по результатам сверки данных по удерживаемым комиссиям), поскольку такие возвраты проводятся в бухгалтерском учете путем дебетования счета расходов, что является критерием признания их как прямой потери. При этом рекомендуем при регистрации таких событий о возврате комиссий заносить в базу событий информацию о ранее излишне полученных комиссиях на счета доходов в качестве полученного ранее возмещения. Одновременно обращаем внимание на возможность группировки событий операционного риска подобного характера в одну запись согласно критериям их однородности, определяемым Банком в соответствии с пунктом 6.12 Положения
Комментарии Банка России по вопросу регистрации в базе событий информации о получении кредитной организацией прибыли вследствие реализации источников операционного риска, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 3.
В соответствии с абзацем третьим подпункта 9.3.1 пункта 9.3 Положения
Таким образом, необходимость регистрации событий операционного риска с иными видами потерь (например, качественными, косвенными потерями) кредитная организация с базовой лицензией вправе определить самостоятельно исходя из характера и масштаба своей деятельности, уровня операционного риска (например, определить обязательность регистрации данных видов потерь для критически важных процессов, играющих ключевую роль в деятельности кредитной организации, по которым имеются технологии выявления и оценки таких потерь (например, автоматизированный документооборот в рамках выполнения данного процесса), для цели последующего накопления статистики и установлениях ключевых индикаторов риска (далее – КИР) в рамках проведения процедуры мониторинга (то есть контроля и ограничения) операционного риска на данном бизнес-процессе в соответствии с подпунктом 2.1.7 пункта 2.1 Положения
Дополнительные комментарии Банка России по вопросам необходимости регистрации событий операционного риска с потенциальными потерями в базе событий размещены на сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 4.
Событие операционного риска, связанное с возвратом ошибочно списанных комиссий с клиента кредитной организации посредством исправительной проводки следует рассматривать как событие операционного риска с потенциальными потерями, в случае если данная ошибка была скорректирована кредитной организацией до учета излишне списанной комиссии в прибыли кредитной организации в рамках утвержденной годовой бухгалтерской (финансовой) отчетности. В случае если данная ошибка была устранена после утверждения годовой финансовой отчетности, предлагаем учитывать ее в базе событий как прямую потерю от реализации событий операционного риска, при этом в данном случае датой учета потери в соответствии с абзацем тридцатым пункта 6.6 Положения
Обращаем внимание, что в случае если излишнее взимание комиссии с клиентов кредитной организацией имеет системный характер, являющийся следствием внутренних характеристик продукта, особенностей настроек в системе взимания данных комиссий и условий договоров, потери от данного события следует относить к риску потерь средств клиентов, контрагентов, работников и третьих лиц вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг в соответствии с абзацем девятым пункта 1.4 Положения
1. Что означает «проведение независимой оценки качества данных», может ли подразделение кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) осуществлять такую независимую оценку или она должна проводиться внешней организацией, какие вопросы должны быть решены в целях оценки качества данных?
2. Какие вопросы должны быть рассмотрены в целях подготовки «оценки состава компонентов, архитектуры, информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности для обеспечения функционирования процессов кредитной организации»?
3. Каковы критерии определения перечня информационных систем, которые подлежат лицензированию и сертификации (всех информационных систем или тех из них, что обеспечивают функционирование технически важных процессов)?
Ответ
от 17.05.2022 № 716-P-2022/74
По вопросу 1.
В соответствии с абзацем восьмым подпункта 8.7.6 пункта 8.7 Положения Банка России
В соответствии с подпунктом 4.1.4 пункта 4.1 Положения
По вопросу 2.
В соответствии с подпунктом 8.8.6 пункта 8.8 Положения
По вопросу 3.
В соответствии с пунктом 8.7 Положения
1. Каков порядок определения кредитной организацией (головной кредитной организацией банковской группы) (далее – кредитная организация) требований к качеству данных?
2. Следует ли относить к событиям риска информационной безопасности следующие виды инцидентов информационной безопасности, в результате которых отсутствуют прямые и (или) непрямые потери:
вредоносная активность, в том числе вирусы-шифровальщики;
отказ в обслуживании (DDoS атака или DoS атака) в результате которых сервисы или инфраструктура кредитной организации не доступна;
отказ в обслуживании (DDoS атака или DoS атака) в результате которых сервисы или инфраструктура кредитной организации не доступна;
несанкционированная (намеренная или случайная) пересылка конфиденциальной информации, для которой установлен запрет во внутренних документах на несанкционированную передачу, в сеть Интернет;
несанкционированная установка программного обеспечения на оборудования (АРМ и\или серверы кредитной организации);
несанкционированное предоставление прав доступа, в том числе привилегированных, работникам кредитной организации или работникам сторонних компаний, осуществляющих функции по договору с кредитной организацией;
нарушение требований в области ИБ, установленных во внутренних документах кредитной организации (например, открытые подозрительных писем, переход на фишинговые ссылки, несанкционированное подключение устройств (например, беспроводный модем, модуль Wi-Fi и др.) к оборудованию кредитной организации и др.);
по результатам инструментального сканирования выявлены критические уязвимости в инфраструктуре кредитной организации.
Ответ
от 17.05.2022 № 716-P-2022/73
По вопросу 1.
В целях управления риском информационных систем кредитной организации следует разработать во внутренних документах и соблюдать все требования к обеспечению качества данных в информационных системах, указанные в абзацах втором – восьмом подпункта 8.7.4 пункта 8.7 Положения Банка России
По вопросу 2.
В соответствии с абзацем первым пункта 7.3 Положения
В соответствии с абзацем первым пункта 7.3 Положения
В отношении вышеуказанных примеров инцидентов защиты информации сообщаем, что недоступность сервисов или инфраструктуры кредитной организации (головной кредитной организации банковской группы) в результате отказа в обслуживании (DDoS атаки или DoS атаки) влечет возникновение непрямых, а именно потенциальных потерь кредитной организации (головной кредитной организации банковской группы), определяемых в соответствии с подпунктом 3.13.3 пункта 3.13 Положения
Ответ
от 17.05.2022 № 716-P-2022/72
При формировании отчетности по форме 0409106 рекомендуем использовать порядок учета прямых и непрямых потерь, аналогичный порядку учета прямых и непрямых потерь в целях расчета показателей, указанных в подпункте 4.2.4 пункта 4.2 Положения Банка России
В случае если в текущем отчетном периоде было выявлено событие операционного риска, прямые потери по которому были отражены на счетах бухгалтерского учета в прошлом отчетном периоде, сумма данной потери будет учтена в показателе «нарастающим итогом с начала года», при этом повторное направление в Банк России отчетности по форме 0409106 за прошлые отчетные периоды с актуализированными данными кредитной организацией не предусматривается.
1. Какого рода конфликты интересов возникают в случае назначения одного и того же подразделения кредитной организации (головной кредитной организации) (далее – кредитная организация) специализированным подразделением в соответствии с абзацем седьмым пункта 1.3 Положения Банка России
2. Как квалифицировать статус Службы информационной безопасности в контексте выполнения процедур управления риском информационной безопасности, как специализированного подразделения или центра компетенций, или одновременно специализированного подразделения и центра компетенций? Существует ли конфликт интересов в случае, если Служба информационной безопасности является одновременно специализированным подразделением и центром компетенций?
3. В какой роли (специализированное подразделение, центр компетенций или владелец процесса) Служба информационной безопасности и подразделение, ответственное за обеспечение функционирования информационных систем, кредитной организации будут участвовать в выполнении следующих процедур: (А) самооценка; (Б) сбор информации о событиях рисков ИБ/ИТ; (В) сценарный анализ?
4. Вправе ли кредитная организация, исходя из характера и масштабов своей деятельности, определить в качестве специализированного подразделения Службу внутреннего контроля кредитной организации и возложить на нее выполнение отдельных процедур управления операционным риском, указанных в подпунктах 2.1.2, 2.1.6, 2.1.7 пункта 2.1 Положения
5. Какие существуют ограничения при назначении кредитной организацией должностных лиц в соответствии с требованиями пунктов 7.7 и 8.3 Положения
Ответ
от 17.05.2022 № 716-P-2022/71
По вопросу 1.
В случае если подразделение кредитной организации одновременно является как специализированным подразделением в соответствии с абзацем седьмым пункта 1.3 Положения
По вопросу 2.
В случае если кредитной организацией принято решение о выполнении процедур управления операционным риском, указанных в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения
По вопросу 3.
Комментарии относительно вопроса исключения конфликта интересов в рамках деятельности подразделения, ответственного за обеспечение информационной безопасности, изложены в ответе на вопрос № 1. Аналогичный подход следует распространить на деятельность подразделения, ответственного за обеспечение функционирования информационных систем, разделив функционал его работников таким образом, чтобы к компетенции работников, ответственных за выполнение процедур по управлению риском информационных систем, указанных в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения
Дополнительно сообщаем, что распределение обязанностей по выполнению процедур управления операционным риском, указанных в вопросе третьем письма № 1 в части рисков информационной безопасности и информационных систем также следует осуществлять в соответствии с вышеуказанным подходом к исключению конфликта интересов.
По вопросу 4.
Кредитная организация в зависимости от характера и масштабов деятельности, организационной структуры управления, организации внутренних процессов принятия решений и распределения полномочий вправе самостоятельно определить специализированное подразделение, например, службу внутреннего контроля, или несколько подразделений, ответственное (ответственных) за управление отдельными видами операционного риска.
При этом в соответствии с абзацем седьмым пункта 1.3 Положения
Обращаем внимание, что в соответствии с требованиями Положения
Дополнительные комментарии Банка России относительно специализированных подразделений размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 5.
В соответствии с абзацем пятым пункта 7.7 Положения
Вышеуказанные должностные лица должны быть назначены кредитной организации из числа работников кредитной организации.
Дополнительные комментарии Банка России относительно порядка назначения должностных лиц кредитной организации размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
1. С учетом приведения системы управления операционным риском в соответствие с требованиями Положения Банка России
2. В соответствии с требованиями подпункта 2.1.5 пункта 2.1 Положения
Ответ
от 17.05.2022 № 716-P-2022/70
По вопросу 1.
Мнение кредитной организации подтверждаем.
По вопросу 2.
Положение
1. Правильно ли понимание, что если банк с базовой лицензией использует регуляторный подход, то объем капитала, выделяемого на покрытие потерь от реализации операционного риска, определяется по формулам, приведенным в пункте 3 приложения 2 к Положению Банка России
2. В каких целях осуществляется расчет показателей в соответствии с пунктом 3 приложения 2 к Положению
Ответ
от 17.05.2022 № 716-P-2022/69
По вопросу 1.
В соответствии с абзацем третьим подпункта 9.3.1 пункта 9.3 Положения
Одновременно обращаем внимание, что Банком России подготовлен проект указания Банка России «О внесении изменений в Положение Банка России от 8 апреля 2020 года
По вопросу 2.
Расчет показателей в соответствии с пунктом 3 приложения 2 к Положению
1. Следует ли для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце пятом подпункта 1.2.1 пункта 1.2 приложения 1 к Положению Банка России
2. Следует ли для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце шестом подпункта 1.2.1 пункта 1 приложения 1 к Положению
3. Следует ли для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце седьмом подпункта 1.2.1 пункта 1 приложения 1 к Положению
4. Возможно ли установление целевых значений не для всех контрольных показателей уровня риска информационной безопасности?
Ответ
от 17.05.2022 № 716-P-2022/68
По вопросу 1.
Предполагается, что при расчете кредитной организацией контрольного показателя уровня риска информационной безопасности, указанного в абзаце пятом подпункта 1.2.1 пункта 1.2 приложения 1 к Положению
По вопросу 2.
Переводы и платежи по счетам для осуществления клиринга не учитываются при определении контрольного показателя уровня риска информационной безопасности, указанного в абзаце шестом подпункта 1.2.1 пункта 1 приложения 1 к Положению
По вопросу 3.
Полагаем целесообразным для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце седьмом подпункта 1.2.1 пункта 1 приложения 1 к Положению
По вопросу 4.
В соответствии с пунктом 5.1 Положения
Дополнительные комментарии Банка России по вопросам порядка утверждения КПУР размещены на сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
1. В случае если у кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) по состоянию на 1 января 2022 года отсутствуют статистические данные о событиях операционного риска, необходимые для расчета сигнальных и контрольных (далее – целевых) значений контрольных показателей уровня операционного риска (далее – КПУР), каким образом следует определять целевые значения КПУР?
2. Может ли кредитная организация не устанавливать целевые значения отдельных КПУР в случае, если значение собственных средств (капитала) являются отрицательными в соответствии с Планом восстановления величины собственных средств (капитала) и Планом финансового оздоровления?
3. Правильно ли понимание, что установление целевых значений КПУР в целом по кредитной организации, а также установление целевых значений КПУР в разрезе направлений деятельности, а затем процессов возможно агрегировать исходя из принципа существенности в зависимости от объема совершаемых операций? Например, не будет ли противоречить Положению Банка России
4. В случае если целевые значения КПУР, рассчитанные на основе статистических данных о событиях операционного риска за период менее десяти лет, представляют собой величины, которые, по мнению кредитной организации, не соответствуют масштабам и характеру деятельности кредитной организации (например, получены крайне незначительные величины), вправе ли кредитная организация использовать иные данные в целях расчета целевых значений КПУР?
Ответ
от 17.05.2022 № 716-P-2022/67
По вопросу 1.
В случае если у кредитной организации по состоянию на 01.01.2022 отсутствуют статистические данные о событиях операционного риска, необходимые для расчета целевых значений КПУР, кредитная организация в соответствии с требованиями абзаца второго пункта 5.3 Положения
В данном случае подразделение кредитной организации, ответственное за организацию управления операционным риском, должно определить во внутренних документах методику расчета целевых значений КПУР на 2022 год с учетом недостающих данных. Для данных целей кредитная организация вправе:
произвести ретроспективный анализ произошедших событий операционного риска как минимум за 2021 год. Следует отметить, что Положение
определить целевые значения КПУР на основе экспертного суждения об уровне операционного риска по кредитной организации в целом, в зависимости от характера и масштаба деятельности кредитной организации (например, используя, при необходимости, открытые внешние данные о годовых суммах потерь кредитных организаций от операционного риска, в том числе риска информационной безопасности).
В соответствии с абзацем третьим пункта 5.3 Положения
Дополнительные комментарии Банка России по вопросу расчета КПУР размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 2.
В соответствии с пунктом 5.1 Положения
Кредитная организация определяет во внутренних документах порядок установления и контроля соблюдения КПУР. Кредитная организация вправе установить во внутренних документах соответствующие порядки, в том числе, в случае, если величины базового капитала и величины общего капитала (собственных средств) принимают отрицательные значения. В этом случае, например, для целей расчета КПУР кредитная организация может временно, на период отрицательного значения базового капитала, применять только сумму источников собственных средств, принимаемых в расчет базового капитала, перечисленных в подпункте 2.1 пункта 2 Положения Банка России
В связи с вышеизложенным, вне зависимости от величины базового капитала и величины общего капитала (собственных средств) кредитная организация должна определить во внутренних документах на плановый годовой период КПУР, указанные в абзацах третьем, десятом подпункта 1.1.1 и абзаце четвертом подпункта 1.2.1 пункта 1 приложения 1 к Положению
По вопросу 3.
Кредитная организация вправе принять решение об установлении целевых значений КПУР в целом по кредитной организации и в разрезе направлений деятельности, без разбивки по составляющим их процессам и подразделениям, ответственным за осуществление операций и сделок и за результаты процесса. Однако при принятии данного решения рекомендуем кредитной организации во внутренних документах привести подробное обоснование аллокации сигнальных и контрольных значений КПУР на направления деятельности.
По вопросу 4.
Подразделение, ответственное за организацию управления операционным риском, проводит расчет целевых значений КПУР на основе статистических данных о событиях операционного риска в соответствии с пунктом 5.3 Положения
1. В соответствии с требованиями пункта 3.12 Положения Банка России
2. К какому направлению деятельности в целях классификации событий операционного риска в соответствии с пунктом 3.9 Положения
3. К какому типу события второго уровня в целях классификации событий операционного риска в соответствии с пунктом 7 приложения 4 к Положению
4. В случае отсутствия клиентского досье по контрагенту кредитной организации, к какому типу событий следует относить данное событие?
5. На сколько тип события «нарушение организации, исполнения и управления процессами кредитной организации», включающий в себя «ошибки расчетно-кассового обслуживания и управления счетами клиентов, состоящие в нарушении порядка работы со счетами клиентов, в том числе работы со средствами клиентов, находящимися в доверительном управлении», относится к событиям расчётно-кассового обслуживания, совершённым вне контекста доверительного управления со счетами клиентов?
6. К какому направлению деятельности в соответствии с пунктом 3.9 Положения
Ответ
от 17.05.2022 № 716-P-2022/66
По вопросу 1.
В соответствии с абзацем двадцать седьмым пункта 6.6 Положения
По вопросу 2.
Классификацию событий операционного риска, связанных с проведением платежей юридических лиц, направляемых в другие кредитные организации, следует осуществлять с учетом этапа процесса, в рамках которого было реализовано данное событие.
В случае если событие операционного риска было реализовано в рамках оказания кредитной организацией банковской услуги по проведению платежей юридических лиц (например, прием, обработка платежа и т д.), то его следует классифицировать по направлению деятельности «коммерческое банковское обслуживание корпоративных клиентов» в соответствии с подпунктом 3.9.4 пункта 3.9 Положения
В случае если событие было реализовано на этапе осуществления перевода денежных средств, платежей через платежные системы, в том числе платежную систему Банка России, в которых кредитная организация выступает как участник или оператор перевода денежных средств, события операционного риска, реализованные в рамках данного процесса (проведения платежа через платежную систему), следует классифицировать по направлению деятельности «осуществление переводов денежных средств, платежей и расчетов через платежные системы», с учетом требований подпункта 3.9.5 пункта 3.9 Положения
По вопросу 3.
Событие операционного риска, связанное с несвоевременной отправкой уведомления об открытии счета физического лица или юридического лица в налоговые органы, в рамках дополнительной классификации по типам событий операционного риска следует относить к ошибкам во внутренних процессах бухгалтерского и аналитического учета и отчетности, состоящие в нарушении правил и сроков соблюдения бухгалтерского учета и предоставления отчетности в соответствии с пунктом 7.2 приложения 4 к Положению № 716 П.
В рамках классификации по направлениям деятельности кредитной организации вышеуказанное событие следует классифицировать как «Розничное банковское обслуживание» в соответствии с подпунктом 3.9.3 пункта 3.9 Положения
По вопросу 4.
В случае отсутствия клиентского досье по контрагенту кредитной организации, данное событие следует относить к типу событий «ошибки при подготовке, проведении и сопровождении операций» в соответствии с пунктом 7.1 приложения 4 к Положению
По вопросу 5.
В соответствии с пунктом 7.4 приложения 4 к Положению
По вопросу 6.
Процесс кредитной организации, указанный в вопросе, считаем целесообразным относить к направлению деятельности «осуществление переводов денежных средств, платежей и расчетов через платежные системы» в соответствии с подпунктом 3.9.5 пункта 3.9 Положения
1. С учетом требований пунктов 6.9 и 6.10 Положения Банка России
2. В случае если кредитная организация не использует модели количественной оценки рисков в значениях, определенных Указанием Банка России
3. Следует ли любой платёж, совершаемый через корреспондентские счета Банка России и несущий в себе риск реализации операционного риска, относить к риску платежной системы?
4. Следует ли относить к правовому риску в соответствии с абзацем четвертым пункта 1.4 Положения
5. Следует ли относить к операционному риску платёжной системы события, связанные с отказом, полученным из платёжной системы Банка России по пакету электронно-платёжных документов (R-макет) вследствие несовершенства процессов/ ошибок сотрудников/ сбоя систем/ внешних факторов?
Ответ
от 17.05.2022 № 716-P-2022/65
По вопросу 1.
Положением
В соответствии с вышеуказанным подходом прямые потери от нефинансовых рисков, в том числе регуляторного риска, связанные с операционным риском, необходимо включать в расчет коэффициента внутренних потерь, определяемого в соответствии с абзацем седьмым пункта 1.2 Положения
В случае, когда кредитная организация ведет раздельные базы событий регуляторного риска и операционного риска, в соответствии с пунктом 6.9 Положения
По вопросу 2.
Модельный риск распространяется на все модели количественной оценки, применяемые кредитной организацией в своей деятельности при принятии управленческих и (или) финансовых решений, так как ошибки в моделях могут стать причиной финансовых потерь кредитной организации из-за данных решений. Обращаем внимание, что в случае если кредитная организация применяет в своей деятельности иные модели количественной оценки, отличные от указанных в вопросе 2, кредитной организации также следует определять модельный риск как вид операционного риска, присущий ее деятельности.
По вопросу 3.
Операционный риск платежной системы, используется в значении, указанном в пункте 1.4 Положения
По вопросу 4.
В случае если нарушение клиентами и (или) контрагентами кредитной организации условий договоров обусловлено источниками операционного риска, указанными в пункте 1.3 Положения
Например, если неисполнение клиентом/контрагентом условий договора произошло по причине их сознательных преднамеренных действий или намерений не исполнять условия договора при его заключении, то такие события следует относить к операционным рискам. Если же неисполнение условий кредитного договора произошло по причине объективного характера, не зависящим от воли и действий добросовестного клиента/контрагента (например, реализации бизнес-риска при выполнении кредитного договора, или введения санкций или ограничений со стороны органов регулирования иностранных государств), то такие события следует классифицировать по первичному источнику риску — как события кредитного риска, которые произошли в бизнесе клиента/заемщика по объективным обстоятельствам, не зависящим от воли и действий заемщика, а неисполнение договоров – это следствие от реализация такого кредитного риска.
Дополнительные комментарии Банка России по вопросам регистрации в базе событий случаев, связанных с невыполнением контрагентами/клиентами условий договоров размещены на сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 5.
Пример события операционного риска, указанный в вопросе 5, следует относить к операционному риску платежной системы в соответствии с абзацем одиннадцатым пункта 1.4 Положения
1. Является ли обесценение активов и формирование резервов вследствие реализации странового и/или геополитического рисков (например, из-за введения санкций и ограничений иностранными государствами) потерями от операционного риска? Нужно ли при наступлении таких потерь регистрировать событие операционного риска?
2. Являются ли ущерб материальных активов (например, уничтожение или потеря потребительских свойств) кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), вызванный военными действиями, потерями от операционного риска и требуется ли регистрация таких событий в базе событий в соответствии с подпунктом 3.6.5 пункта 3.6 Положения Банка России
3. Подлежит ли регистрации в базе событий как событие операционного риска возврат комиссий, пеней, штрафов и неустоек за расчетно-кассовое обслуживание и пользование кредитными продуктами, предусмотренные тарифами кредитной организации, если он не вызван источниками операционного риска и компенсирован в рамках проявления лояльности к клиентам?
4. Что понимается под верификацией корректности исправления записи в базе событий в соответствии с пунктом 6.20 Положения
5. Вправе ли кредитная организация, являющаяся банком с универсальной лицензией, размер активов которого составляет менее 500 млрд руб., не регистрировать в базе событий события, не повлекшие прямые, косвенные или потенциальные потери или повлекшие потери ниже порога регистрации, вне зависимости от типа событий операционного риска или величины потенциальных потерь?
6. Просьба пояснить правила отражения в базе событий потерь от реализации события операционного риска и возмещения по нему в случае, если они произошли в разные годы?
7. В случае если в отчетном периоде (например, в 2021 году) была реализована потеря по событию операционного риска, реализованному в предыдущем отчетном периоде (например, в 2020 году), и которое не было зарегистрировано в базе событий по причине величины потерь, не достигшей минимально установленного кредитной организацией порога регистрации, каким образом следует регистрировать в базе событий в данное событие операционного риска?
8. Обязана ли кредитная организация переносить данные о событиях операционного риска за годы, предшествующие 2022 году, в автоматизированную систему?
9. В случае если по терминалу клиента кредитной организации не зачислился платеж по технической причине, при этом кредитная организация в течение трех дней устранила данную ошибку и необходимая сумма была зачислена, следует ли регистрировать данное событие в базе событий?
10. Подлежит ли регистрации как событие операционного риска событие, при котором клиент кредитной организации понес потери в результате обналичивания денежных средств посредством банкомата сторонней кредитной организации (например, недополучил запрашиваемую сумму по причине сбоя банкомата, а деньги с карты были списаны) и за компенсацией потерь обратился к эмитенту карты?
Ответ
от 17.05.2022 № 716-P-2022/64
По вопросу 1.
Потери кредитной организации, связанные с обесценением активов и начислением резервов вследствие введения санкций и ограничений иностранными государствами, следует относить к потерям от реализации странового и (или) геополитического рисков. В связи с тем, что их реализация не связана с источниками операционного риска, указанными в пункте 3.3 Положения
По вопросу 2.
В случае если материальным активам кредитной организации нанесен ущерб (например, уничтожение или потеря потребительских свойств) вследствие военных действий, данные потери следует относить к событиям операционного риска, которые подлежат регистрации в базе событий с указанием источника операционного риска «Внешние причины», в соответствии с подпунктом 3.3.4 пункта 3.3 Положения
По вопросу 3.
Возврат денежных средств клиенту при отсутствии источников операционного риска в возникновении оснований для возврата данных средств не является событием операционного риска (в случае, если правила процедуры возврата денежных средств клиенту установлены во внутренних документах и соблюдены все условия ее реализации). Например, в случае если возврат денежных средств клиенту предусмотрен особенностями действующего продукта и (или) процесса, то указанное событие не является событием операционного риска. При этом в случае, если возврат денежных средств клиенту произошел после предшествующего ему сбоя информационных систем, допущенных ошибок в алгоритме работы информационных систем и (или) работника кредитной организации, данный возврат средств нужно признавать событием операционного риска и регистрировать в базе событий.
По вопросу 4.
Под верификацией корректности исправления записи в базе событий понимается регулярная проверка уполномоченным работником кредитной организации наличия необходимой информации базе событий в соответствии с пунктом 6.20 Положения
По вопросу 5.
Кредитная организация устанавливает во внутренних документах величину прямых и непрямых потерь от реализации события операционного риска, при которой кредитная организация регистрирует событие операционного риска в базе событий (далее – порог регистрации).
Порог регистрации устанавливается кредитной организацией в зависимости от величины потерь и типа событий операционного риска:
для событий операционного риска, относящихся к типам событий операционного риска «преднамеренные действия персонала» и «преднамеренные действия третьих лиц», указанным в подпунктах 3.6.1 и 3.6.2 пункта 3.6 Положения № 716?П, (далее – типы событий операционного риска «преднамеренные действия персонала» и «преднамеренные действия третьих лиц») порог регистрации в базе событий не устанавливается, и кредитная организация регистрирует все события операционного риска, относящиеся к данным типам событий операционного риска, в базе событий;
для событий операционного риска, потери по которым относятся к потерям (в том числе хищениям) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией, (определены в абзаце втором подпункта 3.13.3 пункта 3.13 Положения № 716 П) (далее – потери средств клиентов, контрагентов, работников и третьих лиц, не компенсированные кредитной организацией), порог регистрации в базе событий не устанавливается, и кредитная организация регистрирует все события операционного риска с указанными потерями в базе событий;
для других типов событий операционного риска, потери по которым относятся к прямым и непрямым потерям, за исключением потерь средств клиентов, контрагентов, работников и третьих лиц, не компенсированных кредитной организацией, порог регистрации в базе событий составляет не более 20 тыс. руб. При этом кредитная организация вправе установить порог регистрации менее 20 тыс. руб. и регистрировать в базе событий все события операционного риска.
С учетом вышеизложенного, кредитная организация, которая в соответствии с пунктом 9.2 Положения
Дополнительные комментарии Банка России по вопросу определения порога регистрации размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
Одновременно сообщаем, что дополнительные комментарии Банка России по вопросу необходимости регистрации событий операционного риска, не повлекших потерь для кредитной организации, размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 6.
В соответствии с абзацем девятым подпункта 2.1.2 пункта 2.1 Положения
Статус «оценка потерь от реализации события операционного риска завершена» присваивается событию операционного риска в том случае, когда кредитная организация признает, что новых потерь (как прямых, так и косвенных) не возникнет и не ожидается получение возмещений по этому событию операционного риска. В случае невозможности определения суммы потерь по событию операционного риска на момент регистрации события операционного риска в базе событий должен указываться статус «оценка потерь от реализации события операционного риска не завершена».
В случае если потери от реализации операционного риска или возмещения по ним отражены на счетах бухгалтерского учета в разные отчетные периоды, кредитной организации следует регистрировать в базе событий данные потери и (или) возмещения в рамках одного события операционного риска, не создавая новую отдельную запись в базе событий по тому же событию операционного риска.
По вопросу 7.
Кредитной организации следует регистрировать событие операционного риска в базе событий в случае, если сумма потерь по нему достигает порога регистрации, установленного кредитной организацией во внутренних документах, при этом в соответствии с абзацами тридцатым и тридцать первым пункта 6.6 Положения №
По вопросу 8.
Положением
По вопросу 9.
В случае если в связи с задержкой платежа кредитная организация нарушает сроки, указанные в договорных обязательствах перед клиентом, что может повлечь за собой претензию со стороны клиента и выплату ему соответствующей компенсации, представленный пример является событием операционного риска, который подлежит регистрации в базе событий с учетом порога регистрации и требований главы 9 Положения
По вопросу 10.
Представленный в описании пример не признается событием операционного риска (так как произошел вне операционной среды и (или) оборудования кредитной организации) в случае если данный вид компенсации предусмотрен особенностями действующего продукта и (или) процесса (например, указан в каталоге типовых расходных операций по данному продукту).
Разъяснение
от 25.04.2022 № 716-P-2021/63
В соответствии с пунктом 4.4 Положения Банка России
В связи с этим Банк России публикует рекомендации по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы), разработанные в соответствии с Положением №
Разъяснение
от 21.03.2022 № 716-P-2021/62
Кредитная организаций в соответствии с подпунктом 4.1.1 пункта 4.1 Положения Банка России
В связи с этим Банк России публикует примерный перечень процессов второго и первого уровня классификации в рамках направлений деятельности (приложение к настоящему разъяснению), разработанный в соответствии с Положением
Обращаем внимание, что вышеуказанный примерный перечень носит рекомендательный характер.
Кредитная организация самостоятельно разрабатывает перечень процессов в соответствии с характером и масштабом ее деятельности, а также определяет последующие уровни классификации процессов и их этапов с учетом осуществляемых операций и (или) действующих процессов кредитной организации.
Ответ
от 30.11.2021 № 716-P-2021/61
В соответствии с пунктом 6.12 Положения
Дополнительные комментарии Банка России относительно порядка группировки однородных событий операционного риска размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
Ответ
от 30.11.2021 № 716-P-2021/60
Кредитная организация применяет показатель объема операционного риска либо в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения Банка РоссииОтвет
от 22.10.2021 № 716-P-2021/59
В соответствии с подпунктом 4.1.5 пункта 4.1 Положения
В целях управления риском информационных систем кредитная организация во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации и обеспечивает ее соблюдение с учетом требований пункта 8.2 Положения
В соответствии с абзацем пятым пункта 8.3 Положения
Планы непрерывности и (или) восстановления критически важных процессов и функционирования ИС должны быть учтены кредитной организацией в плане действий, направленном на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, предусматривающем использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг, разрабатываемом в соответствии с рекомендациями иных нормативных актов Банка России.
1. Как следует применять дополнительный классификатор риска информационной безопасности, указанный в приложении 5 к Положению Банка России
- вместо классификатора операционного риска, указанного в главе 3 Положения №
- в дополнение к классификатору операционного риска, указанному в главе 3 Положения
2. Правильно ли понимание, что в соответствии с пунктом 2.6 приложения 5 к Положению
- по направлению компьютерной атаки;
- по типу атакуемого объекта;
- по типу компьютерной атаки?
3. Каким образом необходимо осуществлять классификацию риска информационной безопасности согласно пункту 3 приложения 5 к Положению №
- в соответствии с одним из пунктов 3.1 или 3.2 приложения 5 к Положению
- в соответствии с пунктом 3.1 приложения 5 к Положению
Ответ
от 22.10.2021 № 716-P-2021/58
1. Подход, изложенный в варианте втором данного вопроса, считаем верным.
2. Кредитная организация классифицирует события риска информационной безопасности по каждому из классификаторов, указанных в пункте 2.6 приложения 5 к Положению
3. Кредитная организация осуществляет детализацию классификации событий риска информационной безопасности как по способам формирования и передачи распоряжений на осуществление транзакций в соответствии с пунктом 3.1 приложения 5 к Положению
Ответ
от 22.10.2021 № 716-P-2021/57
При проведении количественной оценки для целей агрегированной оценки уровня операционного риска кредитная организация (головная кредитная организация банковской группы) проводит расчет уровня операционного риска с применением показателя суммарных чистых потерь от событий операционного риска на годовых периодах.1. За какой период (за отчетный период или нарастающим итогом с начала года) следует указывать данные по потерям от регуляторного риска при формировании отчетов по операционному риску в соответствии с абзацем восьмым подпункта 4.2.4 пункта 4.2 Положения Банка России
2. Каким образом следует рассчитывать показатель, указанный в абзаце третьем подпункта 4.2.4 пункта 4.2 Положения
Ответ
от 22.10.2021 № 716-P-2021/56
1. Рекомендуем для целей сопоставимости данных в отчете об управлении операционным риском рекомендуем указывать сумму прямых потерь от регуляторного риска за период, аналогичный периоду, указанному в предыдущем абзаце подпункта 4.2.4 пункта 4.2 Положения № 716 П.
2. В данном показателе в отчете об управлении операционным риском необходимо указывать как общую сумму количества событий операционного риска с прямыми и косвенными потерями, так и отдельные показатели количества событий операционного риска с прямыми потерями и количества событий операционного риска с косвенными потерями. В случае если событие операционного риска повлекло одновременно прямые и косвенные потери, то такое событие операционного риска отражается в отчете один раз, как событие с прямыми потерями.
1. Какую отчетную дату базового капитала кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) следует использовать в целях расчета контрольных показателей уровня операционного риска, указанных в подпункте 1.1.1 пункта 1.1 приложения 1 к Положению Банка России
2. Следует ли устанавливать все контрольные показатели уровня операционного риска, указанные в приложении 1 к Положению
Ответ
от 22.10.2021 № 716-P-2021/55
1. Величина базового капитала по состоянию на 01.01.20 хх.
2. Обращаем внимание, что Положение
Вправе ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) исходя из характера и масштабов деятельности не относить к критически важным процессам все операции, указанные в пунктах
Вправе ли кредитная организация не относить к критически важным процессам все процессы по ведению бухгалтерского учета, а относить только те, которые исходя из характера и масштабов деятельности кредитной организации, могут оказать существенное влияние на выполнение обязательств перед клиентами и контрагентами кредитной организации?
Вправе ли кредитная организация не относить к основным бизнес-процесс кредитования юридических и физических лиц, поскольку прерывание функционирования данных процессов не оказывает существенное влияние на выполнение обязательств перед клиентами и контрагентами кредитной организации?
Ответ
от 22.10.2021 № 716-P-2021/54
В соответствии с абзацем третьим подпункта 4.1.1 пункта 4.1 Положения Банка РоссииОтвет
от 22.10.2021 № 716-P-2021/53
Бизнес-процессы кредитной организации (головной кредитной организации банковской группы) по кредитованию юридических лиц и предоставлению банковских гарантий юридическим лицам следует относить к направлению деятельности «коммерческое банковское обслуживание корпоративных клиентов» в соответствии с подпунктом 3.9.4 пункта 3.9 ПоложенияОтвет
от 22.10.2021 № 716-P-2021/52
В случае доначисления резервов по результатам оценки риска по МСФО в результате реализации источников операционного риска, указанных в пункте 3.3 Положения Банка РоссииОтвет
от 22.10.2021 № 716-P-2021/51
В соответствии с пунктом 7.5 Положения1. Каким образом кредитной организации (головная кредитная организация банковской группы) (далее – кредитная организация) следует рассчитывать объем капитала, выделяемого на покрытие потерь от реализации событий операционного риска в разрезе направлений деятельности и составляющих их процессов в целях исполнения абзаца третьего подпункта 2.1.4 пункта 2.1 Положения Банка России от 8 апреля 2020 года
Должна ли кредитная организация для указанной цели рассчитывать показатель ОР, а также компоненты объема капитала, выделяемого на покрытие потерь от реализации видов операционного риска (?Ki, ИБ и ?Ki, ОР) в разрезе направлений деятельности и составляющих их процессов?
На какие критерии следует ориентироваться кредитной организации при определении степени (глубины) детализации направлений деятельности и составляющих их процессов в рамках процедур распределения капитала, выделяемого на покрытие потерь от реализации событий операционного риска?
2. При каких условиях кредитная организация вправе не определять дополнительные компоненты объема капитала (?Кi), выделяемого на покрытие потерь от реализации отдельных видов операционного риска, помимо риска информационной безопасности, указанного в пункте 3 приложения 2 к Положению
В случае если кредитная организация определяет дополнительные компоненты объема капитала, выделяемого на покрытие потерь от реализации отдельных видов операционного риска, помимо риска информационной безопасности, указанного в пункте 3 приложения 2 к Положению
В случае если распределение показателя ОР обязательно, каковы критерии определения в нем отдельных видов риска?
Ответ
от 22.10.2021 № 716-P-2021/50
1. Кредитная организация самостоятельно определяет методику оценки объема капитала, выделяемого ей в рамках внутренних процедур оценки достаточности капитала, на покрытие потерь от реализации событий операционного риска при проведении количественной оценки уровня операционного риска. При этом кредитная организация самостоятельно определяет степень (глубину) детализации проводимой оценки в разрезе направлений деятельности, в том числе составляющих их процессов, и видов операционного риска, а также детализации показателей, указанных в формуле, приведенной в пункте 3 приложения 2 к Положению
Для оптимизации количественной оценки уровня операционного риска оценка выделяемого кредитной организацией капитала на покрытие потерь от реализации событий операционного риска по отдельным элементам детализации может проводиться агрегировано исходя из принципа существенности в зависимости от объема совершаемых операций, направлений деятельности, в том числе составляющих их процессов, и значимости отдельных видов операционного риска кредитной организации.
2. Кредитная организация вправе как признавать отдельные виды операционного риска значимыми, так и не выделять их как значимые и управлять ими в составе операционного риска как значимым риском в целом.
Таким образом, в зависимости от подходов, предусмотренных внутренними документами кредитной организации в соответствии с пунктом 8 приложения 2 к Положению
Кредитная организация определяет величину дополнительного компонента объема капитала, выделяемого ей на покрытие потерь от реализации отдельного вида операционного риска, в соответствии с абзацем одиннадцатым пункта 3 приложения 2 к Положению
1. Возможно ли назначить в качестве эксперта кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), ответственного за определение потерь от реализации событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов:
- непосредственного владельца процесса, где было реализовано соответствующее событие операционного риска, при условии осуществления Службой управления рисками кредитной организации последующего контроля расчета, произведенного данным экспертом?
- сотрудника Службы управления рисками кредитной организации?
2. Допускается ли ведение базы событий на иностранном языке?
3. Необходимо ли приведение имеющихся у кредитной организации в базе событий исторических данных по событиям операционного риска в соответствие с требованиями Положения
4. Допускается ли указание в базе событий нескольких типов событий в отношении одного события операционного риска, которое соответствует нескольким типам событий согласно пункту 3.6 Положения
Ответ
от 22.10.2021 № 716-P-2021/49
1. В соответствии с абзацем восьмым подпункта 2.1.3 пункта 2.1 Положения
Обращаем внимание, что экспертами, ответственными за расчет потерь от реализации событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, областей их компетенции и ответственности, назначаются отдельные работники кредитной организации, а не подразделения в целом.
2. Положение
3. В соответствии с пунктом 10.2 Положения
4. В соответствии с абзацем шестнадцатым пункта 6.6 Положения
1. Обязана ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) создавать отдельное специализированное подразделение по управлению отдельными видами операционного риска?
2. В случае если кредитная организация ведет раздельные базы событий по операционному и регуляторному рискам, с включением событий регуляторного риска с прямыми потерями, связанными с реализацией операционного риска, в состав базы событий операционного риска:
- необходимо ли создавать единую методологию классификации событий операционного и регуляторного рисков?
- необходимо ли отражать дополнительную классификацию, указанную в приложении 5 к Положению Банка России от 8 апреля 2020 года № 716 П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение
Ответ
от 22.10.2021 № 716-P-2021/48
1. Кредитная организация вправе не назначать специализированные подразделения по управлению отдельными видами операционного риска. В данном случае в соответствии с абзацем двенадцатым пункта 1.4 Положения
2. В соответствии с пунктом 6.9 Положения
При регистрации информации о событиях и потерях от вышеуказанных рисков данным событиям должны быть также присвоены источник риска, направление деятельности и тип события, как минимум первого уровня классификации, описанные в пунктах 3.6 и 3.8 Положения
Одновременно сообщаем, что в случае регистрации событий нефинансовых рисков, связанных с риском информационной безопасности, в соответствии с пунктом 7.6 Положения
Разъяснение
от 30.09.2021 № 716-P-2021/47
В соответствии с подпунктом 2.1.5 пункта 2.1 Положения Банка России
Качественная оценка уровня операционного риска предусматривает возможность анализировать вероятность и влияние не реализовавшихся рисков, но которые могут реализоваться.
Помимо самооценки операционного риска, требования к которой установлены в абзацах восьмом – тринадцатом подпункта 2.1.5 пункта 2.1 Положения
Отличие профессиональной оценки уровня операционного риска от самооценки операционного риска заключается в том, что участники профессиональной оценки оценивают операционные риски, которые могут реализоваться в других подразделениях и процессах кредитной организации или присущи всем процессам кредитной организации в целом, и могут осуществлять оценку без разработанных анкет, применяемых для самооценки операционного риска.
Рекомендуем профессиональную оценку уровня операционного риска проводить в дополнение к самооценке операционного риска в случаях, когда применение разработанных для самооценки анкет может быть неприменимо или требуется участие в оценке внешних экспертов (например, внешних консультантов).
В отношении сценарного анализа как способа проведения качественной оценки уровня операционного риска сообщаем следующее.
Сценарный анализ операционного риска осуществляется для целей идентификации угроз и негативных последствий реализации операционного риска на уровне процессов кредитной организации, включая выявление недостатков и пробелов в них, разработку мероприятий по их устранению и предотвращению реализации угроз, оценку эффективности (результативности) данных мероприятий, а также качественную оценку уровня операционного риска до и после реализации этих мероприятий путем определения уровня остаточного риска.
Рекомендации Банка России по порядку проведения кредитной организацией сценарного анализа для целей соблюдения требований Положения
Разъяснение
от 30.09.2021 № 716-P-2021/46
При проведении процедуры количественной оценки операционного риска, указанной в подпункте 2.1.4 пункта 2.1 Положения Банка России
1. Для целей оценки объема капитала на покрытие потерь от реализации событий операционного риска, выделяемого кредитной организацией в рамках ВПОДК, в соответствии с пунктом 1 приложения 2 к Положению
Обращаем внимание, что кредитная организация, применяющая регуляторный подход, основанный на применении Положения
2. При проведении количественной оценки уровня операционного риска с использованием способа оценки ожидаемых потерь, указанного в абзаце четвертом подпункта 2.1.4 пункта 2.1 Положения
3. Комментарии Банка России относительно проведения агрегированной оценки уровня операционного риска, размещенные на официальном сайте Банка России в разделе «О процедурах управления операционным риском (часть 4)», вопрос № 3
Разъяснение
от 30.09.2021 № 716-P-2021/45
Кредитная организация в соответствии с абзацем вторым пункта 4.2 Положения Банка России
Банк России планирует в 2022 году ввести в действие форму отчетности 0409106 «Отчет по управлению операционным риском в кредитной организации» в составе Указания Банка России от 8 октября 2018 года
Относительно ежедневного информирования руководителя службы управления рисками о выявленных событиях операционного риска в соответствии с требованиями подпункта 4.2.1 пункта 4.2 Положения
определить критерии существенности для формирования ежедневно выборки наиболее значимых событий операционного риска, выявленных в течение дня. Например, включать в данную выборку события операционного риска с величиной потерь, не менее критерия существенности, либо указанного в подпункте 3.5.1 пункта 3.5 Положения Банка России
для предоставления ежедневной информации о событиях операционного риска с величиной потерь, превышающей критерий существенности, в соответствии с подпунктом 4.2.1 пункта 4.2 Положения
В состав ежедневной информации о событиях операционного риска необходимо включать заключение о влиянии данных событий операционного риска на соблюдение плановых (целевых) показателей уровня операционного риска, разработанных в соответствии с пунктом 4.5 Положения
Разъяснение
от 30.09.2021 № 716-P-2021/44
В соответствии с пунктом 1.4 Положения
Кредитная организация в соответствии с пунктом 6.9 Положения
порядок взаимодействия подразделения, ответственного за организацию управления операционным риском, со службой информационной безопасности и с подразделением (подразделениями), ответственным (ответственными) за обеспечение функционирования информационных систем, по вопросам передачи информации о событиях риска ИБ и риска ИС, как минимум по передаче информации о событиях риска ИБ и риска ИС с прямыми потерями, расследования обстоятельств данных событий и разработки мероприятий, направленных на повышение эффективности управления данными рисками и уменьшение их негативного влияния;
перечень лиц, ответственных за ведение базы событий по риску ИБ и риску ИС, в том числе за своевременную передачу информации о событиях данных видов операционного риска в подразделение, ответственное за организацию управления операционным риском, для включения их базу событий операционного риска;
сроки и формат передачи данных о событиях риска ИБ и риска ИС в целях регистрации в базе событий операционного риска, с учетом требований пункта 6.10 Положения
В силу специфики процедур управления риском информационной безопасности Банк России рекомендует обратить особое внимание на подходы к дополнительной классификации риска информационной безопасности, указанные в приложении 5 к Положению
Обращаем внимание, что в случае если для кредитной организации (исходя из вида лицензии и масштаба деятельности) в соответствии с требованиями главы 9 Положения
При разработке и утверждении перечня контрольных показателей уровня операционного риска в соответствии с требованиями главы 5 Положения
Обращаем внимание, что требования пункта 4.2 Положения № 716?П к формированию отчетов по операционному риску распространяются также на отчеты по риску ИБ и риску ИС, в том числе:
требование о необходимости ежедневной передачи информации о крупных событиях риск ИБ и риска ИС в службу управления рисками кредитной организации, в соответствии с подпунктом 4.2.1 пункта 4.2 Положения
требования к формированию ежеквартальных и ежегодных отчетов в соответствии с подпунктами 4.2.2 и 4.2.3 пункта 4.2 Положения
Разъяснение
от 30.09.2021 № 716-P-2021/43
Для целей корректного учета событий операционного риска в базе событий кредитная организация в соответствии с главой 6 Положения Банка России
В порядке ведения базы событий кредитная организация самостоятельно определяет порядок доступа работников, вовлеченных в процесс управления операционным риском, к базе событий, а также порядок сбора, регистрации, верификации данных по событиям операционного риска, определению потерь и возмещений по данным событиям.
Исходя из характера и масштаба деятельности кредитная организация может выбрать один из следующих способов ведения базы событий:
централизованный способ, когда информация о реализации событий операционного риска регистрируется в базе событий работниками подразделения, ответственного за организацию системы управления операционным риском;
децентрализованный способ, когда сбор информации о событии операционного риска и ее регистрация в базе событий производится ответственными работниками центров компетенций в рамках их функциональных обязанностей;
смешанных способ, когда обязанности по ведению базы событий разделены между участниками данного процесса.
Обращаем внимание, что в соответствии с пунктом 1.3 Положения №
Разъяснение
от 30.09.2021 № 716-P-2021/42
Обращаем внимание, что Положение Банка России
Рекомендуем кредитным организациям разрабатывать внутренние документы в соответствии с вышеуказанным перечнем с учетом положений главы 9 Положения
В связи с тем, что в перечне внутренних документов используются типовые условные наименования внутренних документов, кредитная организация вправе объединить несколько документов из вышеуказанного перечня в один, а также изменять вид и (или) наименование документа, в зависимости от особенностей своей внутренней методологии.
1. Просьба привести примеры риска потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией (головной кредитной организацией) (далее – кредитная организация) кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг, как вида операционного риска, указанного в абзаце девятом пункта 1.4 Положения Банка России от 8 апреля 2020 года № 716?П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение
2. Следует ли относить факт подачи искового заявления кредитной организацией по спорным вопросам из-за несовершенства правовой системы (противоречивости законодательства) к правовому риску как виду операционного риска?
3. Должны ли регистрироваться в базе событий события регуляторного риска с прямыми потерями, которые также должны включаться в регуляторную и управленческую отчетность банка (например, выплата штрафов за нарушение трудового законодательства, охраны труда, процедур ПОД/ФТ и другие штрафы надзорных органов)?
Ответ
от 17.09.2021 № 716-P-2021/41
1. В соответствии с абзацем девятым пункта 1.4 Положения
Примерами реализации данного вида операционного риска могут быть:
потери (излишне уплаченные средства) клиентов вследствие навязывания кредитной организацией дополнительных необязательных услуг (например, необязательных страховых программ при продаже финансовых продуктов), наличия скрытых тарифов при обслуживании;
потери клиентов вследствие некорректного (ненадлежащего) информирования клиента кредитной организацией (например, о потенциальных рисках, присущих предлагаемому банковскому продукту или услуге, или обещание гарантированного дохода по продуктам, не являющимся вкладом);
потери клиентов вследствие «подмены продукта» кредитной организацией, то есть продажи одного финансового продукта под видом другого (например, инвестиционных инструментов под видом вклада);
продажа кредитной организацией заведомо неподходящих клиенту продуктов (например, без учета знаний, социального статуса, возраста и других особенностей клиента).
2. События, когда кредитная организация несет потери вследствие несовершенства правовой системы, следует относить к правовому риску как виду операционного риска в соответствии с абзацем четвертым пункта 1.4 Положения
3. В соответствии с пунктом 6.9 Положения
Кроме того, информация, регистрируемая по событиям отдельных видов операционного риска, регуляторного риска и (или) событий других нефинансовых рисков, включаемая ежемесячно в состав базы событий операционного риска в соответствии с требованиями пункта 6.9 Положения
1. Будут ли относиться к событиям операционного риска, связанным с кредитным риском, случаи неверной классификации ссуды (выявленные внутренним и (или) внешним аудитом, Банком России), не связанные с техническими просчетами, в результате которых возникает недосозданный резерв?
Будут ли относиться к источникам операционного риска «действия персонала и других связанных с кредитной организацией лиц» в соответствии с подпунктом 3.3.2 пункта 3.2 Положением Банка России от 8 апреля 2020 года
по кредиту не учтен иной существенный фактор (в частности, льготность при сравнении с сопоставимы ссудами) в соответствии с подпунктом 3.9.2 пункта 3.9 Положения Банка России
осуществлена иная оценка финансового положения заемщика (более худшая оценка) в соответствии с подпунктом 3.3 Положения
осуществлена иная оценка обеспечения (не подтверждена справедливая стоимость или ликвидность обеспечения) в соответствии с подпунктом 6.3.1 пункта 6.3 Положения
установлены основания для классификации ссуды в соответствии с пунктами 3.13 и 3.14 Положения
2. Что является датой реализации события операционного риска и датой учета потерь по данному событию в следующем примере:
кредитный договор был заключен 01.02.2017г., на 01.09.2017г. образовалась просроченная задолженность и были досозданы резервы в связи с выходом договора на просрочку. При проведении в отношении данной сделки внутреннего расследования кредитной организацией 01.11.2017г. установлены признаки мошенничества и определены основания для обращения в правоохранительные органы с заявлением о возбуждении уголовного дела в отношении заемщика. В возбуждении уголовного дела было отказано. Задолженность признана невозможной к взысканию и соответствующие резервы были списаны 01.09.2020г.
3. Каким образом следует определять потери от реализации события операционного риска в случаях, когда кредитная организация подает судебный иск о взыскании просроченной задолженности по кредитному договору?
Ответ
от 17.09.2021 № 716-P-2021/40
1. Приведенные в вопросе 1 примеры являются событиями операционного риска, возникшими в следствии ошибочных действий персонала по оценке качества ссуды, что привело к возникновению регуляторного риска в виде предписания о доначислении резерва. В этом случае события отражаются в базе событий операционного риска с двумя видами потерь:
прямые потери в виде доначисления резервов (обесценения ссуды);
качественные потери в виде возникновения источника регуляторного риска (получение предписания).
В примерах приведены события, связанные с двумя видами рисков: операционного (как источник события) и регуляторного (последствие события). В соответствии с пунктом 6.9 Положения
В случае если кредитная организация ведет базу событий операционного риска и событий нефинансового риска раздельно, то по приведенным примерам событий операционного риска кредитная организация в соответствии с абзацем восемнадцатым пункта 6.6 Положения
Обращаем также внимание, что разъяснения по вопросу учета потерь от реализации событий операционного риска, потери по которым реализовывались в виде доначисления резервов (то есть связанных с кредитным риском), размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
2. В соответствии с абзацем шестым пункта 6.6 Положения
3. Сумму начисленных дополнительных резервов по кредиту, сумму уплаченной за подачу иска государственной пошлины следует относить к прямым потерям, недополученные доходы в виде начисленных процентов, пеней, неустоек по кредиту – к косвенным потерям.
В то же время для отнесения данной потери к потерям от события операционного риска, связанного с кредитным риском, необходимо убедиться, что несвоевременное погашение клиентом ссудной задолженности обусловлено источниками операционного риска, указанными в пункте 3.3 Положения
Комментарии Банка России относительно порядка учета потерь от событий кредитного риска, связанных с операционным риском, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
1. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) функции куратора службы информатизации, назначаемого в соответствии со Стандартом Банка России ИББС-1.2—2014 и функции должностного лица, ответственного за информационные системы, назначаемого в соответствии с Положением Банка России от 8 апреля 2020 года
2. Правильно ли понимание, что под критериями оценки качества данных, указанными в подпунктах 8.7.5 и 8.7.6 пункта 8.7 Положения
оценку уровня обеспечения требований к качеству данных на уровне отдельных показателей качества данных (качественные данные, если предельно допустимые значения не превышены, некачественные данные, если предельно допустимые значения превышены);
критерии агрегированной оценки качества данных на уровне процессов и систем (способы агрегирования результатов мониторинга отдельных показателей качества данных на уровень процесса, системы или Банка в целом);
шкалу интерпретации результатов мониторинга показателей качества данных (например, трехуровневая (зеленая зона, желтая зона, красная зона)).
3. Правильно ли понимание, что План ОНиВД, который кредитная организация должна разрабатывать и утверждать в соответствии с подпунктом 4.1.5 пункта 4.1 Положения
Ответ
от 17.09.2021 № 716-P-2021/39
1. Подтверждаем, что функции куратора службы информатизации, назначаемого в соответствии со Стандартом ИББС-1.2—2014, и функции должностного лица, ответственного за обеспечение функционирования информационных систем, назначаемого в соответствии с пунктом 8.3 Положения
2. В соответствии с подпунктом 8.7.5 пункта 8.7 Положения
При этом сообщаем, что приведенные в вопросе критерии могут быть приняты кредитной организацией.
3. В соответствии с подпунктом 4.1.5 пункта 4.1 Положения
В целях управления риском информационных систем кредитная организация во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации и обеспечивает ее соблюдение с учетом требований пункта 8.2 Положения №
В соответствии с абзацем пятым пункта 8.3 Положения №
Планы непрерывности и (или) восстановления критически важных процессов и функционирования ИС должны быть учтены кредитной организацией в плане действий, направленном на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, предусматривающем использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг, разрабатываемом в соответствии с пунктом 3.7 Положения
1. Какие квалификационные и иные требования должны быть предъявлены к должностному лицу, ответственному за функционирование системы обеспечения информационной безопасности, который должен быть назначен в соответствии с Положением Банка России от 8 апреля 2020 года
2. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организация банковской группы) (далее – кредитная организация) функции куратора службы информационной безопасности, назначаемого в соответствии со Стандартом Банка России ИББС-1.2—2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0—2014» и функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, назначаемого в соответствии с Положением
3. В соответствии с требованиями Положения
4. Какие должностные обязанности должны быт возложены на должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности, назначаемое в соответствии с Положением
5. Может ли таким должностным лицом, ответственным за функционирование системы обеспечения информационной безопасности, быть представитель Службы управления рисками при условии прямого подчинения лицу, осуществляющему функции единоличного исполнительного органа кредитной организации?
Ответ
от 17.09.2021 № 716-P-2021/38
1. В соответствии с абзацем десятым пункта 7.7 Положения
Таким образом, кредитная организация самостоятельно определяет требования к квалификации должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, с учетом того, что данное должностное лицо должно обладать достаточными знаниями, компетенцией, полномочиями в целях обеспечения его независимости в части принятия решений по вопросам обеспечения информационной безопасности.
2. В соответствии с абзацем пятым пункта 7.7 Положения
Стандарты Банка России СТО БР ИББС-1.0—2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и СТО БР ИББС-1.2—2014 «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0—2014» (далее при совместном упоминании – стандарты Банка России) содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.
На основании вышеизложенного не усматриваем противоречия между функциями куратора службы информационной безопасности и должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, и полагаем возможным совмещение данных функций одним лицом при условии одновременного соблюдения требований Положения
3. Положение
Одновременно, обращаем внимание, что стандарты Банка России СТО БР ИББС-1.0—2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и СТО БР ИББС-1.2—2014 «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0—2014» содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.
4. Кредитная организация, исходя из характера и масштаба деятельности, самостоятельно определяет во внутренних документах функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.
5. В соответствии с подпунктом 8.2.1 пункта 8.2 Стандарта Банка России СТО
Функции, которые должны быть возложены на службу информационной безопасности, указаны в пункте 7.9 Положения
1. В случае получения возмещения по косвенной потере от события операционного риска как следует отразить в базе событий величину косвенной потери с учетом возмещения?
2. В случае если прямая потеря была отражена на счетах бухгалтерского учета в прошлом отчетном периоде (например, в 2020 году), а возмещение по данной потере было отражено на счетах бухгалтерского учета в отчетном периоде (например,
3. Корректно ли учитывать как прямые потери от событий операционного риска следующие списания с расходов кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация):
списание затрат на создание программного обеспечения и остаточной стоимости лицензионных прав на использование программных продуктов на неиспользованное и не введенное в промышленную эксплуатацию программное обеспечение;
списание остаточной стоимости лицензионных прав на использование программных продуктов и остаточной стоимости программного обеспечения в связи с принятием решения уполномоченными лицами кредитной организации о переходе на новое программное обеспечение из-за изменения рыночной коньюнктуры?
4. Допустимо ли по событиям нефинансовых рисков (в том числе регуляторного риска), связанных с операционным риском и включаемых в базу событий операционного риска, классификация и оценка потерь по которым производится в соответствии с собственной методикой кредитной организации, применять требования к управлению операционным риском в соответствии с требованиями Положения Банка России от 8 апреля 2020 года
Допустима ли более детализированная классификация типов событий для учета событий нефинансовых рисков, в том числе регуляторного риска?
Допустимо ли кредитной организации разработать отдельную методологию по оценке и определения уровня нефинансовых рисков, в том числе регуляторного риска?
5. Считается ли событием операционного риска с прямыми потерями ситуация, когда сотруднику было ошибочно начислено больше вознаграждения, чем полагается?
6. Считается ли событием операционного риска ситуация, когда сотруднику было ошибочно начислено меньше вознаграждения, чем полагается?
7. Считается ли событием операционного риска ситуация, когда работник кредитной организации считает, что ему было выплачено меньше вознаграждения, чем полагается, при этом, по мнению кредитной организации, расчет вознаграждения был осуществлен корректно?
8. Должна ли кредитная организация с универсальной лицензией, размер активов которого меньше 500 млрд руб., в соответствии
9. Каким образом следует отражать в базе событий ситуацию, когда потенциальные потери становятся прямыми потерями (например, при получении информации о поданном к кредитной организации судебном иске сумма возможных выплат по данному иску была отражена в базе событий как потенциальная потеря, затем судом было принято решение о принятии исковых требований по требованию истца и кредитная организация формирует резерв по данным обязательствам, что является прямой потерей)?
10. Следует ли относить к потенциальным потерям суммы потерь, которые пока не отражены на счетах бухгалтерского учета, но ожидаются в будущем (например, отражение в учете ремонта поврежденного банкомата)?
11. Следует ли регистрировать в базе событий возмещения, указанные
12. Требуется подтвердить, что страховые премии не учитываются в потерях от операционного риска, при этом страховая выплата отражается как возмещение потерь, понесенных в рамках реализации рискового события.
13. Требуется подтвердить корректность подхода, при котором регистрируются все полученные возмещения с указанием на долю перестраховщиков, не входящих в группу кредитной организации.
Ответ
от 17.09.2021 № 716-P-2021/37
1. Положение
2. При расчете величины чистых (фактических) потерь за отчетный период необходимо учитывать возмещения, относящиеся к прямым потерям, которые были отражены на счетах бухгалтерского учета в отчетном периоде. Исходя из примера, приведенного в вопросе, при составлении отчета, например, за 2 квартал 2021 года, если данные по потере от реализации события операционного риска были отражены на счетах бухгалтерского учета в предыдущем году, а возмещения по ним были отражены на счетах бухгалтерского учета только во 2 квартале 2021 года, данные возмещения не должны учитываться.
3. Кредитной организации следует учитывать прямые потери от реализации событий операционного риска в виде списания затрат на создание программного обеспечения и остаточной стоимости лицензионных прав на использование программных продуктов на неиспользованное и не введенное в промышленную эксплуатацию программное обеспечение в случае, если прямые потери классифицируются в соответствии с подпунктом 3.12.2 пункта 3.12 Положения
4. Положением
В то же время кредитная организация вправе самостоятельно разрабатывать методологию оценки и определения уровня значимости отдельных видов нефинансовых рисков, в том числе определять методологию оценки потерь по ним. Отмечаем, что указанная методология оценки потерь должна соответствовать требованиям Положения
5. В случае если работнику кредитной организации было ошибочно начислено больше вознаграждения, чем полагается, данный инцидент следует относить к событиям операционного риска с прямыми потерями, при этом возврат кредитной организации излишне начисленной суммы вознаграждения должен учитываться как возмещение по данной потере.
6. Факт ошибочного начисления работнику кредитной организации вознаграждения меньшего, чем полагается, которое было компенсировано кредитной организацией, является событием операционного риска с типом события «нарушение кадровой политики и безопасности труда» в соответствии с подпунктом 3.6.3 пункта 3.6 Положения
7. Рекомендуем относить вышеуказанную ситуацию к событиям операционного риска с потенциальными потерями, определяемыми в соответствии с абзацем третьим подпункта 3.13.3 пункта 3.13 Положения
8. В соответствии с подпунктом 9.2.1 пункта 9.2 Положения
9. В случае если потенциальные потери от реализации события операционного риска (или ее часть), зарегистрированные в базе событий, становятся прямыми потерями, в базе событий должна быть отражена информация по обоим видам потерь, при этом рекомендуем в разделе базы событий «обоснование величины потери», заполняемом в соответствии с абзацем тридцать третьим пункта 6.6 Положения
Обращаем внимание, что, если потери от реализации события операционного риска переходит из потенциальных в прямые, не следует уменьшать сумму потенциальных потерь, отраженную в разделе базы событий в соответствии с абзацем двадцать девятым пункта 6.6 Положения
10. Рекомендуем относить подобные события операционного риска к событиям операционного риска с потенциальными потерями в соответствии с абзацем вторым подпункта 3.13.3 пункта 3.13 Положения
11. Возмещения, указанные в абзацах третьем-шестом пункта 6.17 Положения
12. Мнение подтверждаем. При этом страховые выплаты учитываются в качестве возмещений с учетом пункта 6.17 Положения
13. В соответствии с подпунктом 3.6.2 пункта 3.6 Положения
14. Мнение подтверждаем.
1. Возможно ли определить ответственным за ведение базы событий одного работника кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) (например, руководителя службы управления рисками), в обязанности которого будет входить ведение базы событий с определением всех элементов классификации в отношении всех видов операционного риска?
2. Просьба привести примеры, когда исправительные проводки (операции сторно) являются событиями операционного риска, обязательными к регистрации в базе событий операционного риска кредитной организации.
3. Каким образом в базе событий следует регистрировать событие операционного риска, если в рамках него выявлено несколько видов операционного риска, управляемых разными специализированными подразделениями (например, если вследствие технического сбоя клиенту были неверно рассчитаны проценты по вкладу, клиент обратился в суд и суд признал правоту клиента)?
4. В случае если по результатам проверки службы безопасности кредитной организации выявлено, что заемщик на момент получения кредита предоставил поддельную справку о доходах, следует ли указывать в базе событий отдельный вид операционного риска – мошеннические действия третьих лиц?
5. Просьба в приведенном ниже примере указать, какую из дат следует указывать как дату выявления и дату реализации события операционной риска:
11.12.2020 – выявлена недостача денежных средств в кассе, 16.12.2020 – по результатам проверки службы безопасности установлено, что недостача образовалась в результате хищения денежных средств работником кредитной организации. Кредитной организацией подано заявление в правоохранительные органы. 20.02.2021 — кредитной организацией получено обвинительное заключение от правоохранительных органов, кредитная организация подает иск о взыскании задолженности с виновного кассира.
6. Что будет являться событием операционного риска в следующем примере: вследствие сбоя информационной системы кредитной организации 1000 клиентов не могли осуществлять переводы денежных средств со счета банковской карты в личном кабинете через мобильное приложение, при этом 150 клиентов обратились с жалобой в кредитную организацию о том, что денежные средства были списаны с их счета, но не поступили адресату?
7. К какому из направлений деятельности кредитной организации, указанных в пункте 3.9 Положения Банка России от 8 апреля 2020 года
8. К какому направлению деятельности в целях классификации событий операционного риска в соответствии с пунктом 3.9 Положения
вложения в долгосрочные активы, предназначенные для продажи (квартиры дома, земельные участки);
вложения в недвижимость, временно не используемую в основной деятельности (квартиры, земельные участки, нежилые помещения), в том числе сдаваемые в аренду?
Может ли кредитная организация расширить классификацию событий операционного риска по направлениям деятельности первого уровня, указанную в пункте 3.9 Положения
9. В каком случае статус «оценка потерь от события операционного риска завершена» присваивается событию операционного риска или группе однородных событий операционного риска?
10. Каким образом следует заполнять раздел базы событий «агрегированная сумма косвенных потерь», указанный в абзаце тридцать шестом пункта 6.6 Положения
11. Какие направления деятельности кредитной организации следует относить к направлениям деятельности второго уровня классификации, предусмотренном пунктом 3.10 Положения
12. Просьба уточнить, какие виды потерь относятся к первому и второму уровням классификации в соответствии с пунктом 3.12 Положения
13. Следует ли считать событием операционного риска технические недостачи в устройствах самообслуживания (далее – УС) (например, вследствие некорректного обнуления счетчиков банкомата, ввода неверной суммы загрузки, сбоя при отражении операций по счетам бухгалтерского учета ПО и иных факторов)? Возможно ли установить срок регистрации данных событий операционного риска в базе событий до 1 месяца?
14. Следует ли считать событием операционного риска потери кредитной организации, связанные с выплатой клиентам возмещений их потерь, реализованных по причине сбоя в работе УС (например, когда в целях сохранения лояльности клиентов кредитная организация осуществляет возмещение клиенту потерь по сбойным операциям до проведения инкассации УС)?
15. Следует ли считать событием операционного риска списания по картам, которые являются стандартным функционалом продукта (например, операции reversal, adjustments, charge-back)?
16. Следует ли считать событием операционного риска образование задолженности по эквайринговым операциям со стороны компании, при их погашении в течение календарного месяца?
17. Каким образом следует рассчитывать сумму потерь по виду прямых потерь «начисление резервов по прочим потерям и резервов-оценочных обязательств некредитного характера» в соответствии с пунктом 6.1 Положения Банка России от 23 октября
18. В каком случае судебный иск, поданный к кредитной организации или самой кредитной организацией, следует относить к правовому риску как виду операционного риска в соответствии с пунктом 1.4 Положения
19. Следует ли считать событием операционного риска образование задолженности и формирование резервов при закрытии позиции на финансовых рынках в связи с недостаточностью обеспечения, при урегулировании задолженности со стороны клиента в течение следующего календарного месяца?
20. Следует ли считать событием операционного риска потенциальные размеры штрафов из-за ошибок или технических сбоев до момента поступления постановления или акта по результатам проверки со стороны регулирующих органов?
21. Следует ли считать событием операционного риска факты образования дебиторской задолженности со сроком
22. Следует ли считать событием операционного риска факты образования технических овердрафтов по счетам / картам клиентов в случае урегулирования задолженности в срок
23. Следует ли считать потерями от события операционного риска госпошлины по исковым заявлениям до момента произведения соответствующей выплаты?
24. Следует ли считать потерями от события операционного риска факт некорректного начисления дисконтного дохода по облигациям в портфеле кредитной организации в связи со сбоем в программном обеспечении, в случае если данное событие было выявлено работниками кредитной организации в рамках внутреннего контроля, выполнены исправительные проводки?
25. Следует ли считать потерями от события операционного риска факт излишнего отнесения на расходы суммы арендной платы в связи с досрочным расторжением договора аренды нежилого помещения, в случае если данное событие было выявлено работниками кредитной организации в рамках внутреннего контроля, выполнены исправительные проводки?
26. Просим пояснить необходимость регистрации событий операционного риска, финансовым результатом по которым является прибыль (например, следует ли считать событием операционного риска излишки, выявленные при инкассации банкомата либо в кассе, отнесенные на доходы кредитной организации)?
27. Следует ли считать событием операционного риска факт формировании кассовых документов работником кредитной организации с неверным указанием кассового символа?
28. Следует ли считать событием операционного риска факт указания неверного срока полномочий лица, наделенного правом подписи?
29. Следует ли считать событием операционного риска факт несвоевременной переоценки резерва в следующей ситуации:
новый документ, удостоверяющего личность, был предоставлен 20.04.2019, а резерв восстановлен 30.05.2019 (задолженность переведена из 5 категории качества в 3 категорию качества, сумма высвободившихся денежных средств составила более 1 млн руб.)?
30. Следует ли считать событием операционного риска предотвращенные кредитной организацией события социальной инженерии, не повлекшего за собой убытка как для кредитной организации, так и для клиента?
31. Следует ли считать событием операционного риска события внешнего мошенничества по отношению к клиентам кредитной организации, в случае если клиент самостоятельно сообщил сведения для возможности кражи его средств?
32. Следует ли считать событием операционного риска выплаты клиентам по бизнес-решениям, которые являются проявлением лояльности к клиенту (например, прощение долга, выплаты в рамках социальной инженерии, списание безнадежной задолженности, по которой ранее был создан 100% резерв под кредитный риск)?
33. Следует ли считать событием операционного риска сбои в информационных системах кредитной организации (менее 24 часов), не повлекшие за собой потерь?
Ответ
от 17.09.2021 № 716-P-2021/36
1. В соответствии с пунктом 6.21 Положения
Обращаем внимание, что в соответствии с абзацем седьмым пункта 1.3 Положения
В случае ведения единой базы событий работниками службы управления рисками, к ответственности которых в соответствии с внутренним порядком ведения базы событий может быть отнесена регистрация и учет событий информационной безопасности, кредитная организация в соответствии с абзацем вторым подпункта 7.9.2 пункта 7.9 Положения
2. В соответствии с абзацем четвертым подпункта 6.7.1 пункта 6.7 Положения №
3. В соответствии с абзацем семнадцатым пункта 6.6 Положения
4. В приведенном в вопросе примере не следует указывать мошенничество как отдельный вид операционного риска, так как данное событие может реализоваться во всех направлениях деятельности кредитной организации и может быть причиной реализации отдельных видов операционного риска, указанных в пункте 1.4 Положения
5. В приведенном в вопросе примере датой выявления события операционного риска следует считать дату, когда кредитной организацией был выявлен факт недостачи (11.12.2020). В соответствии с абзацем четвертым пункта 6.6 Положения
Комментарии Банка России по вопросу определения дат учета потерь и возмещений по событию операционного риска размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
6. В приведенном вопросе примере событием операционного риска является сбой информационной системы, повлекший невозможность получения клиентами кредитной организации ее услуг, следствием которого явились жалобы клиентов. Таким образом, в указанной ситуации следует зарегистрировать в базе событий одно событие операционного риска, связанное со сбоем информационной системы. В случае если жалобы клиентов повлекли для кредитной организации какие-либо компенсационные выплаты клиентам, их следует регистрировать в качестве прямых потерь от данного события операционного риска, при этом общее количество жалоб клиентов и общую сумму претензий клиентов, связанных с данным событием операционного риска, рекомендуем учитывать для оценки потенциальных потерь от данного события операционного риска.
7. Бизнес-процессы кредитной организации по кредитованию физических лиц, управление и оценка которых проводится как на индивидуальной, так и на коллективной основе, следует классифицировать как направление деятельности «розничное банковское обслуживание» в соответствии с подпунктом 3.9.3 пункта 3.9 Положения
8. Бизнес-процессы кредитной организации, указанные в вопросе, считаем целесообразным относить к направлению деятельности «обеспечение деятельности кредитной организации» в соответствии с подпунктом 3.9.9 пункта 3.9 Положения
9. Статус «оценка потерь от события операционного риска завершена» присваивается событию операционного риска или группе однородных событий операционного риска, объединенных в группу на основании критериев однородности событий операционного риска в соответствии с требованиями пункта 6.12 Положения
10. В разделе базы событий «агрегированная сумма косвенных потерь», заполняемом в соответствии с абзацем тридцать шестым пункта 6.6 Положения
11. В целях классификации событий операционного риска по направлениям деятельности кредитной организации в соответствии с пунктом 3.10 Положения
12. Виды прямых потерь, указанные в первых абзацах подпунктов 3.12.1 – 3.12.10 пункта 3.12 Положения
13. Сумма недостачи признается прямой потерей, которую необходимо регистрировать в базе событий, если данная сумма была отражена на счетах расходов/убытков бухгалтерского учета (или на счетах учета дебиторской задолженности как отложенные расходы). Поступившие затем компенсации данной недостачи следует отражать в базе событий как возмещение по данному событию операционного риска. В то же время сумму недостачи следует относить к потенциальным потерям, если данная недостача была предотвращена средствами внутреннего контроля до отражения проводки на счетах бухгалтерского учета. Если дата регистрации события операционного риска в базе событий ранее даты отражения недостачи как прямой потери по нему, то сумму недостачи следует отражать в базе событий как потенциальную потерю, а с даты ее отражения в бухгалтерском учете – как прямую потерю.
Кредитная организация вправе для целей управления операционным риском разработать отдельный подвид ключевых индикаторов операционного риска по событиям операционного риска, которые были предотвращены до закрытия операционного дня для оценки эффективности последующего контроля и мер, направленных на уменьшение негативного влияния операционного риска.
Положение
Также обращаем внимание, что в соответствии с подпунктом 4.2.1 пункта 4.2 Положения
Для цели снижения трудоемкости ведения базы событий, в том числе уменьшения количества записей, кредитная организация вправе группировать отдельные мелкие события операционного риска в группу событий в соответствии с пунктом 6.12 Положения
14. В соответствии с подпунктом 3.12.3 пункта 3.12 Положения
Данные события подлежат регистрации в базе событий, при этом выявляемые излишки денег в УС, за счет которых урегулируются данные потери, следует отражать в базе событий как возмещения к данным потерям при условии, что выявленные излишки обнаружены в том же УС, в котором были зарегистрированы сбои, вызвавшие выплаты клиентам компенсаций, «закрываемых» данными излишками.
Дополнительные комментарии Банка России по вопросу определения потерь от реализации событий операционного риска, связанных с выплатой кредитной организацией компенсаций клиентам, контрагентам на добровольной основе, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
15. В случае если операция списания по картам является стандартной услугой и предусмотрена условиями продукта, а также не связана с реализацией источников операционного риска, указанных в пункте 3.3 Положения
16. В случае если договором оказания услуг эквайринга предусмотрена ежемесячная оплата услуг, данное событие (временной разрыв между оказанием услуги до ее оплаты) не является событием операционного риска.
17. Начисление резервов по прочим потерям и резервов — оценочных обязательств некредитного характера в соответствии с пунктом 6.1 Положения
18. В соответствии с абзацем четвертым пункта 1.4 Положения №
В то же время в случае, если кредитная организация подала в суд иск как бизнес-операцию взыскания стандартной просроченной задолженности (то есть не образованной в результате события операционного риска), то данное событие не следует рассматривать как событие правового риска и (или) операционного риска. Но если кредитная организация проиграла такой иск в результате ошибок в судебном процессе (например, неверно составленном исковом требовании, ошибок в представленных документах, неверно выбранной тактики доказывания или соблюдения судебной процедуры и др.), то данное событие (проигрыш в суде) является правовым риском и потери по нему (например, уплаченные пошлины, присужденные судом к выплате компенсации и (или) штрафы и т д.) следует относить к потерям от реализации данного события правового риска как вида операционного риска.
Обращаем также внимание, что в случае если к кредитной организации подан судебный иск ее клиентом в связи с нарушением его прав вследствие правовых ошибок со стороны кредитной организации (например, кредитный договор составлен с нарушением норм законодательства), данное событие следует также рассматривать как событие правового риска.
В то же время в случае если причиной образования просроченной задолженности по кредиту не является источник операционного риска, то есть процедура оформления и выдачи кредита была совершена с соблюдением всех установленных правил и процедур, факт образования просроченной задолженности не является событием операционного риска, при этом подача кредитной организацией судебного иска по взысканию данной просроченной задолженности является способом управления кредитным риском.
19. В случае если недостаточность обеспечения при закрытии позиции возникает вследствие реализации источников операционного риска, указанных в пункте 3.3 Положения
20. Рекомендуем относить возможные потери кредитной организации в виде штрафов, которые могут быть предъявлены к кредитной организации вследствие нарушений с ее стороны по причине ошибок работников, технических сбоев и других источников операционного риска, указанных в пункте 3.3 Положения
В случае если в соответствии с требованиями главы 9 Положения
21. В случае если возникновение дебиторской задолженности связано с реализацией источников операционного риска, указанных в пункте 3.3 Положения
22. В случае возникновения технического овердрафта по причине реализации источников операционного риска, указанных в пункте 3.3 Положения
При формировании резерва по техническому овердрафту, в случае если не удалось урегулировать задолженность с клиентом в срок, установленный внутренними документами и (или) договором, следует отражать данные потери в базе событий как прямые потери. В то же время рекомендуем при урегулировании с клиентом суммы технического овердрафта в период, предусмотренный внутренними документами и (или) договором, относить данные потери к потенциальным потерям.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
23. При поступлении информации о подаче судебного иска к кредитной организации, в случае если данный иск связан с источником операционного риска, указанным в пункте 3.3 Положения
24. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
25. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
26. В случае если реализация события операционного риска не привела к прямым потерям для кредитной организации, а ее результатом могло стать отражение в бухгалтерском учете дохода кредитной организации, данное событие операционного риска следует рассматривать как событие операционного риска с потенциальными потерями, определяемыми путем моделирования неблагоприятного исхода данного события с определенной вероятностью (сценарное моделирование). Для вышеуказанного события операционного риска рекомендуем в базе событий в разделе «описание события операционного риска», предусмотренном абзацем тринадцатым пункта 6.6 Положения
27. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
28. В случае реализации источников операционного риска, указанных в пункте 3.3 Положения
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
29. Представленное в вопросе событие является событием операционного риска, результатом которого стало отражение в бухгалтерском учете дохода кредитной организации.
Дополнительные комментарии по отражению в базе событий операционного риска, результатом реализации которых является прибыль кредитной организации, см. в вопросе 26.
30. Относительно предотвращенных кредитной организацией событий социальной инженерии, не повлекших за собой убытка как для кредитной организации, так и для клиента, сообщаем, что Положение
31. Относительно событий внешнего мошенничества по отношению к клиентам кредитной организации в случае, если клиент самостоятельно сообщил сведения для возможности кражи его средств и украденные средства не были компенсированы клиенту кредитной организацией, сообщаем, что их следует относить к потенциальным потерям, определяемым в соответствии с абзацем вторым подпункта 3.13.3 пункта 3.13 Положения
32. В соответствии с подпунктом 3.12.3 пункта 3.12 Положения
Прощение долга клиенту в случае его добросовестности и отсутствия источников операционного риска в возникновении данного долга, не является событием операционного риска, в случае, если правила процедуры прощения долга установлены во внутренних документах и соблюдены все условия ее реализации.
33. Представленное в вопросе событие является событием операционного риска с непрямыми потерями (например, в виде простоя).
Правила регистрации в базе событий с непрямыми потерями кредитная организация определяет самостоятельно с учетом требований главы 9 Положения
Для целей соблюдения иных нормативных актов Банка России вправе самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, инцидентов риска информационной безопасности), которые были предотвращены и которые не привели как к прямым, так и непрямым потерям.
1. Распространяются ли требования Положения Банка России от 8 апреля 2020 года
2. При формировании головной кредитной организацией банковской группы отчета по операционному риску в соответствии с абзацем вторым подпункта 4.2.2 пункта 4.2 Положения
элементы классификации событий операционного риска иностранных дочерних банков в соответствии с главой 3 Положения
ограниченное количество показателей, перечисленных в подпункте 4.2.4 пункта 4.2 Положения
3. Подлежит ли включению в отчет по операционному риску, формируемому в соответствии с подпунктом 4.2.2 пункта 4.2 Положения
Ответ
от 17.09.2021 № 716-P-2021/35
1. Требования Положения
Головная кредитная организация в целях реализации требований, указанных в пункте 6.3 Положения
В соответствии с абзацем третьим пункта 6.3 Положения
Таким образом, иностранные дочерние организации могут предоставлять в головную кредитную организацию банковской группы данные о событиях операционного риска и потерях в соответствии с установленным во внутренних документах порядком, при этом отчеты, формируемые головной кредитной организацией банковской группы в соответствии с подпунктом 4.2.2 пункта 4.2 Положения
2. Головная кредитная организация банковской группы при формировании отчета в соответствии с абзацем вторым подпункта 4.2.2 пункта 4.2 Положения
3. В целях формирования отчета в соответствии с абзацем вторым подпункта 4.2.2 пункта 4.2 Положения
1. Правильно ли понимание, что небанковские кредитные организации (далее – НКО) обязаны осуществлять сбор и регистрацию информации по контрольным показателям операционного риска (далее – КПУР) только в части КПУР, указанных в абзацах втором и седьмом подпункта 1.1.1 пункта 1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1.2 приложения 1 к Положению Банка России от 8 апреля 2020 года
2. Каким образом следует учитывать однородные события операционного риска, объединенные в базе событий в группу?
3. При расчете КПУР в соответствии с подпунктом 1.1.1 приложения 1 Положения
4. В КПУР, указанном в абзаце пятом подпункта 1.2.1 пункта 1.2 приложения 1 к Положению
Ответ
от 17.09.2021 № 716-P-2021/34
1. Для целей сбора и регистрации информации о внутренних событиях операционного риска и потерях от его реализации НКО в соответствии с пунктом 9.4 Положения
Банк России в соответствии с подпунктом 9.4.2 пункта 9.4 Положения
2. При расчете КПУР, указанного в абзаце седьмом подпункта 1.1.1 пункта 1.1 приложения 1 к Положению № 716?П, неучтенные события операционного риска, которые в базе событий объединены в группу на основании критериев однородности событий операционного риска в соответствии с требованиями пункта 6.12 Положения
Дополнительные комментарии Банка России относительно критериев определения связанности событий операционного риска размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
3. В соответствии с подпунктом 1.1.1 пункта 1.1 приложения 1 к Положению №
Положение
4. При расчете КПУР, указанного в абзаце пятом подпункта 1.2.1 пункта 1.2 приложения 1 к Положению
Ответ
от 17.09.2021 № 716-P-2021/33
В соответствии с подпунктом 4.1.3 пункта 4.1 Положения Банка России от 8 апреля 2020 года1. Правильно ли небанковская кредитная организация (далее – НКО) понимает, что пункты (абзацы, подпункты, главы, приложения), не перечисленные в пункте 9.4 Положения Банка России от 8 апреля 2020 года
2. Правильно ли НКО понимает, что в соответствии с требованиями пункта 9.4 Положения
3. Требуется подтвердить мнение, что под плановыми (целевыми) показателями уровня операционного риска, указанными в пункте 4.5 Положения
Просьба пояснить, что понимается под агрегированной оценкой уровня операционного риска?
4. Возможно ли считать ключевые индикаторы операционного риска (далее – КИР) лимитами риска?
Ответ
от 17.09.2021 № 716-P-2021/32
1. В соответствии с Положением
2. Кредитная организация, которая на начало текущего отчетного года является НКО, в целях выполнения процедуры идентификации операционного риска с учетом пункта 9.4 Положения
Обращаем внимание, что НКО с учетом масштаба и характера деятельности вправе самостоятельно определить во внутренних документах дополнительные способы идентификации операционного риска, указанные в подпункте 2.1.1 пункта 2.1 Положения
3. В отношении плановых (целевых) показателей уровня операционного риска мнение подтверждаем.
Агрегированная оценка уровня операционного риска является оценкой получения ею непредвиденных потерь с определенной доверительной вероятностью и осуществляется кредитной организацией на основании методики, разработанной кредитной организацией исходя из характера и масштаба ее деятельности, с учетом требований абзаца второго подпункта 2.1.4 пункта 2.1 Положения
В соответствии с абзацем вторым подпункта 2.1.4 пункта 2.1 Положения
При определении количественных показателей для целей агрегированной оценки уровня операционного риска, кредитная организация вправе использовать показатели, рассчитываемые для целей составления внутренних отчетов по операционному риску в соответствии с пунктом 4.2 Положения
4. КИР не являются лимитами риска. К указанным лимитам операционного риска могут быть отнесены плановые (целевые) показатели уровня операционных рисков, соотнесенных с плановыми (целевыми) объемами операций, подверженных операционным рискам, приведенных в пункте 4.5 Положения №
Вправе ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) использовать для выявления событий кредитного риска, обусловленных операционным риском, следующие критерии:
наличие профессионального суждения о факте внешнего мошенничества (изначальное намерение заемщика не возвращать кредитные средства);
наличие профессионального суждения о факте внутреннего мошенничества (действия работников кредитной организации, направленные на одобрение кредитных средств заемщику, не намеренному их возвращать, в целях получения материальной выгоды)?
Могут ли быть у событий операционного риска, которые могут привести к реализации кредитного риска, другие источники, не связанные с мошенническими действиями со стороны заемщика и (или) со стороны работников кредитной организации?
Ответ
от 29.01.2021 № 716-P-2021/31
В соответствии с абзацем четвертым подпункта 3.12.1 пункта 3.12 Положения Банка России от 8 апреля 2020 года
Относительно примеров критериев, приведенных в вопросе, полагаем, что кредитная организация вправе использовать профессиональное суждение о наличии внешнего и (или) внутреннего мошенничества с целью выявления кредитного риска, обусловленного событием операционного риска, однако данный перечень критериев не является исчерпывающим. Рекомендуем осуществлять выявление критериев наличия внутреннего и внешнего мошенничества как на этапе предварительного контроля перед одобрением сделки, так и на этапе мониторинга или последующего контроля (например, силами внутреннего аудита или внутреннего контроля), анализируя причины отнесения ссуды
Обращаем внимание, что источниками события операционного риска, которые могут привести к реализации кредитного риска, могут быть не только мошеннические действия как со стороны заемщика, так и со стороны работников кредитной организации, но также и ошибки работников кредитной организации (например, некачественное проведение кредитной экспертизы из-за халатности работника), недостатки в организации кредитного процесса (например, отсутствие контрольных функций на этапе выдачи кредита), внешние причины (например, если в случае какой-либо чрезвычайно ситуации заемщик не смог надлежащим образом обслуживать кредит) и сбои систем (например, если в случае сбоя в информационной системе кредитной организации не были своевременно начислено погашение кредита).
Таким образом, рекомендуем кредитной организации исходя из характера и масштаба деятельности расширить перечень критериев выявления событий, реализовавшихся в виде кредитного риска по причине источников операционного риска.
Дополнительные комментарии Банка России по вопросу критериев определения событий операционного риска, связанных с кредитным риском в кредитных процессах, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
Ответ
от 27.01.2021 № 716-P-2021/30
В соответствии с пунктом 4.3 приложения 2 к Положению
Дополнительные комментарии Банка России по вопросу требований Положения
1. Могут ли к центрам компетенций относиться подразделения кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), в обязанности которых входит обслуживание клиентов и которые несут ответственность за достижение целевых показателей, в том числе выполнение планов по продажам продуктов и услуг кредитной организации?
Какие подразделения кредитной организации могут быть отнесены к подразделениям, обеспечивающим процессы кредитной организации, в соответствии с абзацем восьмым пункта 1.3 Положения Банка России от 8 апреля 2020 года
2. Могут ли следующие подразделения являться специализированными подразделениями по управлению отдельными видами операционного риска:
юридическое подразделение — правовым риском;
кадровое подразделение/подразделение по охране труда – риском ошибок управления персоналом;
подразделение информационной безопасности – риском информационной безопасности;
подразделение информационных технологий – риском информационных систем?
3. Может ли специализированным подразделением по управлению риском ошибок в процессах осуществления внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения (далее – ПОД/ФТ) являться подразделение кредитной организации, ответственное за реализацию правил ПОД/ФТ, например, подразделение финансового мониторинга?
Ответ
от 27.01.2021 № 716-P-2021/29
По вопросу 1.
К центрам компетенций для цели организации системы управления операционным риском относятся подразделения кредитной организации, отвечающие за осуществление операций и сделок в рамках осуществляемых ими процессов, которые выявляют события операционного риска на своих или смежных процессах и информируют о них. В соответствии с абзацем восьмым пункта 1.3 Положения
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения
По вопросу 2.
В случае если подразделения кредитной организации, перечисленные в вопросе, в рамках своих функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения
По вопросу 3.
Кредитная организация самостоятельно определяет специализированное подразделение или несколько подразделений, ответственное (ответственных) за управление риском ошибок в процессах осуществления внутреннего контроля, связанных с нарушением правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма исходя из характера и масштабов своей деятельности, и вправе возложить функцию по управлению данным видом операционного риска в части деятельности по ПОД/ФТ на подразделение, ответственное за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, в том числе на подразделение финансового мониторинга.
В части иных видов деятельности кредитная организация вправе возложить функцию по управлению риском ошибок в процессах осуществления внутреннего контроля, например, на службу внутреннего контроля.
Ответ
от 27.01.2021 № 716-P-2021/28
Прямые потери от событий операционного риска следует учитывать по дате ее отражения на счетах бухгалтерского учета. В случае если в текущем отчетном периоде было выявлено событие операционного риска, прямые потери по которому были отражены на счетах бухгалтерского учета в прошлом отчетном периоде, сумма данной потери будет учтена в показателе «нарастающим итогом с начала года».
Косвенные потери и потенциальные потери следует относить к отчетному периоду на основании даты регистрации события операционного риска в базе событий в соответствии с абзацем четвертым пункта 6.6 Положения банка России
При расчете показателей, связанных с возмещениями по прямым потерям от реализации события операционного риска, возмещения учитываются следующим образом:
при расчете показателей за отчетный период учитываются возмещения, относящиеся к прямым потерям, которые были отражены на счетах бухгалтерского учета в отчетном периоде. Например, при составлении отчета за 1 квартал, если данные по потере от реализации события операционного риска были отражены на счетах бухгалтерского учета в 1 квартале, а возмещения по ним были отражены на счетах бухгалтерского учета только во 2 квартале, то при расчете показателей отчетности за 1 квартал данные возмещения не должны учитываться.
при расчете показателей нарастающим итогом с начала года учитываются возмещения, относящиеся к прямым потерям, которые были отражены на счетах бухгалтерского учета в году, к которому относится отчетный период.
Ответ
от 27.01.2021 № 716-P-2021/27
В соответствии с пунктом 10.2 ПоложенияОтвет
от 27.01.2021 № 716-P-2021/26
В соответствии с пунктом 10.2 Положения
Например, кредитная организация обязана начать расчет сигнальных и контрольных значений контрольных показателей уровня операционного риска с 1 января 2022 года. Кредитной организации следует рассчитывать сигнальные и контрольные значения контрольных показателей уровня операционного риска на основе накопленной статистики, которая соответствует требованиям Положения
1. В соответствии с абзацем пятым пункта 1.4 Положения Банка России от 8 апреля 2020 года
2. Вправе ли кредитная организация считать, что ее деятельность не подвержена модельному риску в значении, определенном в абзаце восьмом пункта 1.4 Положения
3. Вправе ли кредитная организация считать, что ее деятельность не подвержена риску платежной системы в значении, определенном в абзаце одиннадцатом пункта 1.4 Положения
Ответ
от 27.01.2021 № 716-P-2021/25
По вопросу 1.
Положением
В случае если кредитная организация считает, что она не реализует собственных проектов (например, по своему развитию, совершенствованию систем функционирования), то она вправе не определять данный вид операционного риска как присущий в своей деятельности.
По вопросу 2.
Модельный риск возникает на всех разрабатываемых и применяемых банком количественных моделях, а не только используемых для целей оценки операционного риска. В случае если кредитная организация использует модели количественной оценки иных видов риска (например, кредитного риска), кредитная организация должна применять процедуры управления модельным риском, содержащие методы выявления и оценки риска ошибок процессов разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений (модельный риск).
Дополнительные комментарии Банка России по вопросу определения специализированного подразделения, ответственного за управление модельным риском, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 3.
Кредитная организация подвержена операционному риску, связанному с работой в платежной системе, независимо от того, является ли она оператором платежной системы или оператором услуг платежной инфраструктуры, так как она может нести потери как участник платежной системы (например, в случае если в результате сбоя, компьютерной атаки, намеренных действий персонала при оформлении платежного рейса платежи, осуществляемые кредитной организацией через платежные системы, содержат ошибки, неверные реквизиты, задвоение платежа).
1. В случае если событие регуляторного риска повлекло прямые потери, связанные с реализацией операционного риска, вправе ли работник службы внутреннего контроля заводить информацию о событии регуляторного риска, связанного с операционным риском, в базу событий с соблюдением требований пункта 6.6 Положения Банка России от 8 апреля 2020 года
2. Распространяются ли требования к ведению базы событий, указанные в пункте 6.6 Положения
3. В какие сроки с даты регистрации должно быть завершено заполнение информации, предусмотренной пунктом 6.6 Положения
4. Что означает фраза «порог регистрации в базе событий составляет не более 20 тысяч рублей», указанная в пункте 6.5 Положения
Ответ
от 27.01.2021 № 716-P-2021/24
По вопросу 1.
В соответствии с пунктом 6.21 Положения
Таким образом, в функциональные обязанности работников специализированных подразделений кредитной организации (например, работников службы внутреннего контроля) может входить ввод в базу событий информации о событиях операционного риска или других нефинансовых рисков (например, регуляторного риска), повлекших прямые потери, связанные с реализаций операционного риска, по алгоритмизированным правилам, установленным кредитной организацией во внутренних документах, с соблюдением требований пункта 6.6 Положения
По вопросу 2.
В соответствии с пунктом 6.9 Положения
Кроме того, информация, регистрируемая по событиям отдельных видов операционного риска, регуляторного риска и (или) событий других нефинансовых рисков, включаемая ежемесячно в состав базы событий операционного риска в соответствии с требованиями пункта 6.9 Положения
По вопросу 3.
Кредитная организация самостоятельно устанавливает срок завершения заполнения информации о событии операционного риска исходя из масштабов и характера своей деятельности в соответствии с внутренними документами кредитной организации, устанавливающими порядок ведения базы событий. В соответствии с абзацем тринадцатым подпункта 2.1.2 пункта 2.1 Положения
По вопросу 4.
В соответствии с абзацем первым пункта 6.5 Положения
Дополнительные комментарии Банка России по вопросу определения порога регистрации, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
Вправе ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) в целях соблюдения нормы, указанной в подпункте 4.1.6 пункта 4.1 Положения от 8 апреля 2020 года
уменьшение годового нефиксированного вознаграждения на определенный процент в случае выявления фактов непредъявления информации о событии операционного риска с прямыми потерями, превышающими 20 тыс. руб. в случае нарушения установленных контрольных показателей уровня операционного риска;
применение к работнику Банка мер дисциплинарного взыскания в случае выявления фактов непредоставления информации о событиях операционного риска с прямыми и непрямыми потерями, превышающими 1 млн руб.;
вынесение благодарности работникам центов компетенций Банка, активно участвующих в течение года в системе управления операционным риском.
Ответ
от 20.01.2021 № 716-P-2021/23
Положение
В соответствии с абзацем седьмым подпункта 4.1.6 пункта 4.1 Положения
В целях эффективного управления операционным риском рекомендуем разработать сбалансированную систему мотивации работников кредитной организации к качественному выполнению требований Положения
1. Просьба привести примеры прямых потерь от реализации события операционного риска в виде начисления амортизационных расходов по причине операционного риска.
2. Просьба пояснить определение потенциальных потерь от реализации события операционного риска, в том числе потерь (в том числе хищение) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией (головной кредитной организации банковской группы) (далее – кредитная организация).
3. Как следует учитывать потери, которые понесли кредитные организации от пандемии COVID—19? Просьба привести примеры подобных расходов, которые следует регистрировать в базе событий?
4. Какие из нижеприведенных примеров можно учитывать в качестве прямых потерь от отрицательной переоценки стоимости торгового портфеля и (или) финансового инструмента в части, обусловленной нарушением правил совершения сделок и операций с инструментами торгового портфеля, правил совершения операций, определенных во внутренних документах кредитной организации:
пример 1 — отрицательный финансовый результат по сделкам, заключенным с нарушением лимитов;
пример 2 — отрицательный финансовый результат при заключении разнонаправленных сделок с целью манипулирования финансовыми результатами;
пример 3 — отрицательный финансовый результат при исправлении ошибок бухгалтерского учета в результате некорректно введенного курса иностранной валюты при переоценке средств в иностранной валюте (ошибки со стороны системы или сотрудника);
пример 4 — отрицательный финансовый результат при исправлении ошибок бухгалтерского учета в результате некорректно введенной котировки при оценке справедливой стоимости ценных бумаг, ПФИ (ошибки со стороны системы или сотрудника);
пример 5 — отрицательный финансовый результат, полученный при исправлении некорректного расчета финансового результата от купли-продажи ценных бумаг, заключения сделок ПФИ и купли-продажи иностранной валюты (ошибки со стороны системы или сотрудника).
5. Просьба привести примеры прямых потерь от реализации операционного риска, связанных с поиском возможности возврата ошибочного платежа, в соответствии с абзацем четвертым подпункта 3.12.5 Положения Банка России от 8 апреля 2020 года
6. Допускается ли для учета потерь, относящихся к конфиденциальной информации (например, зарплаты работников или представителей кредитной организации) использование усредненных значений?
7. В соответствии с пунктами 6.17 и 6.18 Положения
Просьба уточнить критерии для определения физических и юридических лиц, способных оказать влияние на деятельность кредитной организации?
8. Просьба уточнить порядок учета потерь в следующих полях базы событий в соответствии с пунктом 6.6 Положения
9. Относятся ли расходы кредитной организации, связанные с выплатой денежных средств работнику кредитной организации при расторжении трудовых отношений, в случае если трудовые отношения расторгаются по причине события операционного риска, к потерям от реализации операционного риска и подлежат ли данные потери регистрации в базе событий?
10. В случае если по событию операционного риска, связанному с нарушением кредитной организацией законодательства РФ по причине операционного риска, к кредитной организации были предъявлены штрафные санкции в следующем отчетном году и в сумме, меньшей размера потенциальных потерь, определенных кредитной организацией при регистрации события в базе событий, каким образом кредитной организации следует скорректировать величину потерь в базе событий?
11. Является ли закрытым перечень источников получения возмещения по потерям от реализации события операционного риска, указанный в пункте 6.6 Положения
12. Следует ли кредитной организации при расчете валовых потерь от реализации событий операционного риска руководствоваться подпунктом 4.2.4 пункта 4.2 Положения
Ответ
от 20.01.2021 № 716-P-2021/22
По вопросу 1.
Абзац десятый подпункта 3.12.1 пункта 3.12 Положения
Покупка кредитной организацией нового оборудования взамен списанного, не осуществлённые непосредственно с дебетованием счета расходов, не относится к потерям, указанным в абзаце десятом подпункта 3.12.1 пункта 3.12 Положения
В зависимости от обстоятельств реализованного события операционного риска кредитной организации необходимо определить тип и источник операционного риска, так как причины утраты материальных активов могут носить как внешние, так и внутренние причины.
Предлагаем для целей выявления событий операционного риска анализировать в рамках процедур последующего контроля случаи внепланового (ускоренного) доначисления амортизации до 100% и списания с баланса материальных активов.
По вопросу 2.
Основное определение потенциальных потерь приведено в пункте 3.13 Положения
потери (в том числе хищение) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией, с учетом положений абзаца восьмого пункта 6.5 Положения
другие потенциальные потери.
Потери клиентов, некомпенсированные кредитной организацией, следует относить к потенциальным потерям, так как при определенном стечении обстоятельств кредитная организация может быть обязана выплатить компенсацию, которая будет отнесена к прямым потерям (например, в случае если клиент обратится в суд и решение будет принято в его пользу).
Рекомендуем учитывать случаи, когда кредитная организация выплачивает компенсацию потери клиента, которую ранее отказывался компенсировать, то есть когда такие потенциальные потери становятся прямыми потерями, чтобы определить статистику подобных случаев.
По вопросу 3.
Кредитные организации должны осуществлять мероприятия по обеспечению непрерывности и восстановлению деятельности (далее – ОНиВД), разрабатывать планы ОНиВД в соответствии с Положением Банка России от 16 декабря 2003 года
К прямым потерям от реализации операционного риска вследствие COVID 19 необходимо относить потери от событий операционного риска, вызванных недостатками организации работы в условиях пандемии (например, выплату штрафов за нарушение перчаточно-масочного режима в офисах банка по результатам проверки Роспотребнадзора, что является событием операционного риска).
По вопросу 4.
В части примера 1: отрицательный финансовый результат учитывается как прямые потери. Если произойдет положительная переоценка финансового результата по этим сделкам, которые ранее были зафиксированы как отрицательные с нарушением лимитов, то они должны учитываться в базе событий операционного риска как возмещение с даты отражения проводки в бухгалтерском учете.
В части примера 2: если соответствующими правилами бизнес-процесса предусмотрены стоп-лоссы, то потери в рамках реализации лимитов стоп-лосс являются потерями от рыночного риска и не относятся к операционному риску. Если же сделки были несанкционированными, совершенными с нарушением регламентов принятия (управления) рыночным риском (например, лимитов) или при неправильном отражении в учете, некорректном предоставлении документов, то фиксация отрицательного финансового результата по таким сделкам является событием операционного риска. Такие события следует выявлять в рамках процедур последующего контроля (например, проверок СВА порядка совершения операций с инструментами торгового портфеля).
В части
По вопросу 5.
Примерами потерь от ошибочных платежей, связанных с поиском возможности возврата ошибочного платежа, указанных в абзаце четвертом подпункта 3.12.5 Положения
случаи, когда ошибочный платеж проведен через платежную систему, правилами которой предусмотрены комиссии за возврат;
случаи, когда возврат платежной системой не может быть осуществлен инструментами урегулирования претензий внутри платежной системы и возврат осуществляется следственными и(или) судебными процедурами с соответствующими расходами на эти процедуры.
По вопросу 6.
Считаем возможным для определения потерь, в которых должна фигурировать заработная плата сотрудников (например, осуществляющих действия по возврату мошеннического кредита или платежа), использовать усредненные или обезличенные значения, но не менее реальных значений заработной платы.
По вопросу 7.
Возмещения, полученные от работников кредитной организацией (например, от кассиров для покрытия недостачи), необходимо учитывать в качестве возмещения при условии, что данные возмещения не осуществляются за счет средств (например, кредитов), предоставленных кредитной организацией этому работнику для цели покрытия недостачи, или предоставленных связанным с кредитной организацией лицом, определённым в соответствии с критериями пункта 8.2 Инструкции Банка России от 29 ноября 2019 года
Критерии связности физических и юридических лиц с кредитной организацией определяются в соответствии с критериями пункта 8.2 Инструкции
По вопросу 8.
В поле базы событий «агрегированная сумма валовых потерь» указывается совокупная величина всех прямых потерь с учетом требований подпунктов 6.7.1 – 6.7.3 пункта 6.7 Положения
В поле базы событий «агрегированная сумма прямых потерь» указывается совокупная величина всех прямых потерь, определяемых в соответствии с пунктом 3.12 Положения
В поле базы событий «агрегированная сумма косвенных потерь» указывается совокупная величина всех косвенных потерь, определяемых в соответствии с пунктом 3.13 Положения
В контрольных показателях уровня операционного риска, определяемых в соответствии с приложением 1 к Положению
По вопросу 9.
Расходы кредитной организации, связанные с выплатой денежных средств работнику кредитной организации при расторжении трудовых отношений в соответствии с трудовым законодательством (даже если трудовые отношения расторгаются по причине события операционного риска), являются затратами на персонал и относятся к текущей деятельности процессов управления персоналом кредитной организации. Указанные расходы не являются потерями от операционного риска и не подлежат регистрации в базе событий.
По вопросу 10.
В случае регистрации кредитной организацией события операционного риска, связанного с нарушением кредитной организацией законодательства Российской Федерации, размер штрафных санкций, которые могут быть наложены на кредитную организацию в связи с данным нарушением, следует рассматривать в качестве потенциальных потерь от данного события операционного риска, при этом сумма фактически уплаченных кредитной организацией штрафных санкций должна быть отражена в базе событий как прямая потеря от события операционного риска и относиться к тому отчетному периоду, в котором данная потеря была отражена на счетах бухгалтерского учета. При регистрации прямой потери от реализации операционного риска рекомендуем не корректировать ранее отраженную величину потенциальных потерь и указать в базе событий, например, в поле «обоснование величины потери», что данные прямая и потенциальная потери связаны между собой.
По вопросу 11.
Подтверждаем, что перечень источников получения возмещения по потерям от реализации события операционного риска, указанный в пункте 6.6 Положения
По вопросу 12.
Подпункт 4.2.4 пункта 4.2 Положения
Ответ
от 20.01.2021 № 716-P-2021/21
В случае если сбой информационной системы произошел в процессе функционирования отдельного подразделения и (или) направления деятельности кредитной организации, данное событие операционного риска следует отнести к тому направлению деятельности, в котором оно произошло, в соответствии с классификацией, изложенной в пункте 3.9 Положения Банка России от 8 апреля 2020 года
В случае если сбой информационной системы, произошедший в кредитной организации, затронул всю ее деятельность, данное событие операционного риска следует отнести к направлению деятельности «обеспечение деятельности кредитной организации» в соответствии с подпунктом 3.9.9 пункта 3.9 Положения
Рекомендуем организовать процесс сбора информации о событиях операционного риска таким образом, чтобы информация о событии операционного риска, связанном со сбоем информационных систем, предоставлялась в подразделение, ответственное за организацию управления операционным риском, как подразделением (подразделениями), чью деятельность затронул данный сбой, так и специализированным подразделением, ответственным за организацию управления риском информационных систем в соответствии с абзацем третьим пункта 1.4 Положения
1. Просьба уточнить порядок расчета показателя «Среднеквадратичное отклонение (сигма) величины прямых потерь» по группе событий операционного риска.
2. Следует ли включать в отчеты по операционному риску, указанные в подпункте 4.2.2 пункта 4.2 Положения от 8 апреля 2020 года
Ответ
от 20.01.2021 № 716-P-2021/20
По вопросу 1.
Показатель «Среднеквадратичное отклонение (сигма) величины прямых потерь» следует рассчитывать по каждой группе событий операционного риска в случае, если количество событий в группе превышает 100 случаев за год.
По вопросу 2.
В отчеты по операционному риску, указанные в подпункте 4.2.2 пункта 4.2 Положения
1. Каким образом следует рассчитывать величину потерь в виде обесценения стоимости кредита в результате начисления дополнительных резервов в случае увеличения кредитного риска из-за реализации события операционного риска?
2. Просьба привести примеры критериев определения событий операционного риска, связанных с кредитным риском в кредитных процессах.
3. Просьба уточнить порядок учета потерь по операционному риску, связанному с кредитным риском, для розничных кредитов, для которых проводки по резервам формируются портфельно. Корректно ли при отражении резерва по отдельному кредиту указывать сумму проводки, относящейся к конкретному кредиту?
Ответ
от 20.01.2021 № 716-P-2021/19
По вопросу 1.
В соответствии с абзацем четвертым подпункта 3.12.1 пункта 3.12 Положения Банка России от 8 апреля 2020 года
Поэтому бухгалтерская проводка по формированию резервов на начисленные, но не полученные проценты не является прямой потерей. В целях Положения
По вопросу 2.
Событие операционного риска в кредитном процессе может быть реализовано на всех этапах процесса отбора заемщиков, подготовки, одобрения, выдачи, мониторинга и сопровождения кредитных требований (кредитного договора). В соответствии со сложившейся практикой кредитования кредитная организация может идентифицировать и описать типичные случаи реализации событий операционного риска, связанных с кредитным риском в кредитных процессах, например:
пример 1 — кредит признается мошенническим при получении заемщиком кредитных средств без намерения последующего возврата путем введения кредитной организации в заблуждение, при этом мошенническими кредиты могут быть как по причине действий заемщика, так и по причине недостатков внутренних процессов превентивного распознавания таких случаев, в том числе и по причине внутреннего мошенничества. Например, критериями внешнего мошенничества являются намеренное представление недостоверной отчетности для цели одобрения кредита, не надлежащего залога или информации о залоге. Примерами случаев внутреннего мошенничества являются сознательное изменение сотрудниками кредитной организации условий сделки, игнорирование очевидных стоп факторов, не доведение информации в кредитном заключении до органов управления кредитной организации, принимающих решение о выдаче ссуд. Рекомендуем осуществлять выявление критериев наличия внутреннего и внешнего мошенничества как на этапе предварительного контроля перед одобрением сделки, так и на этапе мониторинга или последующего контроля, например, силами внутреннего аудита или внутреннего контроля, анализируя причины отнесения ссуды
пример 2 — выдача ссуды, которая привела к существенному доначислению резерва (например, по фактам отнесения ссуды
пример 3 — уполномоченный орган по одобрению кредита принимает решение о выдаче с нарушениями установленных стоп-факторов и критериев (например, не учитывает (не принимает во внимание) связанность заемщиков, не показывает перекредитование на группу заемщиков).
По вопросу 3.
Считаем возможным указывать в базе событий сумму проводки, относящейся к конкретному кредиту, на котором реализовалось событие операционного риска (например, данный кредит признан мошенническим), при этом в базе событий по такой потере может быть занесена ссылка на сводную проводку начисления резервов, в которую включен резерв по данной ссуде.
1. Можно ли считать владельцев процессов кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) центрами компетенции в значении, определенном в абзаце восьмом пункта 1.3 Положения Банка России от 8 апреля 2020 года
2. На какой периметр банковской группы распространяются требования Положения
Ответ
от 20.01.2021 № 716-P-2021/18
По вопросу 1.
В соответствии с абзацем восьмым пункта 1.3 Положения
подразделения, ответственные за осуществление операций и сделок и за результаты процесса;
подразделения, обеспечивающие процессы кредитной организации.
Кредитная организация вправе признавать владельцев процессов центрами компетенций, в случае если понятие «владелец процесса», используемое во внутренних документах кредитной организации, не противоречит определению центров компетенций, указанному в абзаце восьмом пункта 1.3 Положения
По вопросу 2.
Положение
В отношении иных участников банковской группы головная кредитная организация, поднадзорная Банку России, должна определить во внутренних документах по управлению операционным риском группы основные принципы и правила, которые соответствуют требованиям Положения
Ответ
от 20.01.2021 № 716-P-2021/17
Регуляторная отчетность по операционному риску планируется издать в рамках внесения изменений в Указанием Банка России от 8 октября 2018 года1. Требования к расчету объема капитала на покрытие потерь от реализации событий операционного риска, указанные в приложении 2 к Положению Банка России от 8 апреля 2020 года
2. Какие источники должна использовать кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) для получения информации о потерях других кредитных организаций для ведения базы по внешним событиям операционного риска для оценки объема капитала, выделяемого на покрытие потерь от реализации событий операционного риска?
Ответ
от 20.01.2021 № 716-P-2021/16
По вопросу 1.
Приложение 2 к Положению
После ввода в действие нового Положения Банка России
По вопросу 2.
Положение
В целях соблюдения требований к управлению операционным риском в соответствии с Положением
Ответ
от 20.01.2021 № 716-P-2021/15
В соответствии с подпунктом 9.2.1 пункта 9.1 Положения от 8 апреля 2020 года1. На основании каких данных базы событий следует рассчитывать показатель «общая сумма валовых прямых потерь», используемый при расчете контрольных показателей уровня операционного риска и риска информационной безопасности, указанных в приложении 1 к Положению от 8 апреля 2020 года
2. События операционного риска с каким статусом оценки потерь следует использовать при расчете контрольных показателей уровня операционного риска в соответствии с приложением 1 к Положению
3. Вправе ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) осуществлять количественную оценку уровня операционного риска в соответствии с подпунктом 2.1.4 пункта 2.1 Положения
Ответ
от 20.01.2021 № 716-P-2021/14
По вопросу 1.
Показатель «общая сумма валовых прямых потерь» (общая сумма прямых потерь до учета возмещений), используемый при расчете контрольных показателей уровня операционного риска и риска информационной безопасности, указанных в приложении 1 к Положению
По вопросу 2.
Кредитной организации следует учитывать при расчете контрольных показателей уровня операционного риска и риска информационной безопасности, разрабатываемых в соответствии с приложением 1 к Положению
По вопросу 3.
Способы проведения кредитной организацией количественной оценки уровня операционного риска изложены в подпункте 2.1.4 пункта 2.1 Положения
Обращаем внимание, что контроль за уровнем операционного риска на основании контрольных показателей уровня операционного риска в соответствии с главой 5 Положения
1. Является ли закрытым перечень видов операционного риска, изложенный в пункте 1.4 Положения Банка России от 8 апреля 2020 года № 716 П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение
2. Какие подразделения кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) наиболее полно отвечают критериям специализированного подразделения по управлению модельным риском в соответствии с абзацем восьмым пункта 1.4 Положения
3. В случае если кредитной организацией принято решение не продолжать трудовые отношения с работником по итогам прохождения испытательного срока, является ли данный факт основанием для занесения в базу событий операционного риска по виду операционного риска в соответствии с пунктом 1.4 Положения
4. Относятся ли действия заемщиков кредитной организации, связанные с получением ими кредитных средств без намерения последующего возврата путем введения кредитной организации в заблуждение, к событиям операционного риска, которые подлежат регистрации в базе событий? К какому виду операционного риска согласно пункту 1.4 Положения
5. К какому из видов операционного риска, указанных в пункте 1.4 Положения
Ответ
от 20.01.2021 № 716-P-2021/13
По вопросу 1.
Пункт 1.4 Положения
Перечень видов операционного риска не является закрытым и будет дополняться Банком России по мере накопления примеров из банковской практики по выделению в организационных структурах кредитных организаций специализированных подразделений, обособленно от служб управления рисками (далее – СУР), управляющих отдельными видами операционного риска, в том числе ведущих обособленный учет событий операционного риска.
Кредитная организация вправе в дополнение к видам операционного риска, указанным в пункте 1.4 Положения
Также кредитная организация вправе не передавать управление отдельными видами операционного риска, перечисленными в пункте 1.4 Положения
По вопросу 2.
Кредитная организация самостоятельно определяет подразделение или несколько подразделений, ответственное (ответственных) за управление модельным риском в зависимости от характера и масштабов деятельности.
Рекомендуем обеспечить при управлении модельным риском функционирование подразделений, ответственных за независимую валидацию моделей, регулярную проверку, оценку и непрерывный мониторинг модельного риска, а также предоставление независимого анализа и утверждения показателей эффективности модели, включая подразделения валидации, подразделения, ответственного за организацию управления операционным риском и прочие виды рисков. Уполномоченное подразделение кредитной организации (например, внутренний аудит) должно обеспечивать оценку эффективности управления модельным риском, а также оценку соответствия владельцев и пользователей моделей политикам и процедурам, установленным во внутренних документах кредитной организации.
Дополнительные комментарии по данному вопросу размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 3.
Расторжение трудовых отношений с работником кредитной организации по итогам прохождения испытательного срока относится к текущей деятельности процессов управления персоналом кредитной организации и не является событием операционного риска, и, следовательно, не подлежит регистрации в базе событий. В случае если расторжение трудовых отношений с работником кредитной организации по итогам прохождения испытательного срока произошло по причине совершенных им нарушений или ошибок, которые привели к реализации события операционного риска, данный факт расторжения трудовых отношений является следствием реализации события операционного риска и его следует отметить в базе событий в качестве меры, направленной на уменьшение негативного влияния операционного риска, в соответствии с абзацем двадцать пятым пункта 6.6 Положения
По вопросу 4.
Действия заемщиков кредитной организации, связанные с получением ими кредитных средств без намерения последующего возврата путем введения кредитной организации в заблуждение (например, при предоставлении недостоверной отчетности для цели одобрения кредита или заведомо некорректной информации о залоге), относятся к событиям операционного риска и подлежат регистрации в базе событий.
Пункт 1.4 Положения
Относительно приведенного в вопросе примера события операционного риска, связанного с мошенническими действиями третьих лиц с целью получения кредита без намерения его возврата, отмечаем, что данное событие не является отдельным видом операционного риска и его следует классифицировать по типу события операционного риска «преднамеренные действия третьих лиц», определяемому в соответствии с подпунктом 3.6.2 пункта 3.6 Положения № 716 П, а поле базы событий, указанное в абзаце семнадцатом пункта 6.6 Положения
Обращаем внимание, что подпункт 6.7.3 пункта 6.7 Положения
Сумма доначисленных резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности по причине реализации операционного риска должна учитываться в качестве прямых потерь по данным событиям операционного риска, безотносительно того, реализовались ли данные события с участием работников кредитной организации или без него.
По вопросу 5.
Ошибки работников кредитной организации могут возникнуть в любом процессе деятельности кредитной организации и могут как относиться, так и не относиться к одному из видов операционного риска, указанных в пункте 1.4 Положения
Обращаем внимание, что Положение
1. Допускается ли регистрация в базе событий часто встречающихся событий операционного риска (например, недостач в кассе) агрегировано в рамках однородных групп событий (например, по одному материально ответственному лицу)?
2. Просьба привести примеры критериев изменения статуса события операционного риска «оценка потерь от реализации события операционного риска не завершена». В случае невозможности определения суммы потерь по событию операционного риска на момент регистрации в базе событий, какой статус оценки потерь необходимо указать в базе событий?
3. Допускается ли при отражении в базе событий информации о бухгалтерской записи по потере от реализации события операционного риска агрегирование проводок (например, возможно ли не отражать все проводки по резервам по валютным кредитам за каждый день, а брать только дельту изменений)?
4. Просьба уточнить порядок корректировки значений потерь и возмещения в базе событий в соответствии с пунктом 6.19 Положения от 8 апреля 2020 года
5. Просьба уточнить особенности отражения в базе событий информации о величине потерь от реализации события операционного риска в соответствии с абзацем двадцать девятым пункта 6.6 Положения
6. В случае корректировки в базе событий величины прямых потерь, связанных с перерасчетом величины прямых потерь от реализации события операционного риска прошлого периода, в соответствии с абзацем третьим подпункта 6.7.1 пункта 6.7 Положения
7. Какую информацию о бухгалтерской записи суммы потери и(или) возмещения следует отражать в базе событий в соответствии с абзацами тридцать первым и сорок четвертым пункта 6.6 Положения
8. В случае если потери от реализации операционного риска или возмещения по ним отражены на счетах бухгалтерского учета в разные отчетные периоды, следует ли кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) регистрировать в базе событий данные потери и (или) возмещения в рамках одного события операционного риска или создавать отдельную карточку события операционного риска?
9. Следует ли банку с универсальной лицензией, размер активов которого составляет менее 500 млрд руб., регистрировать в базе событий выявленные факты нарушения кредитной организацией законодательства РФ по причине операционного риска, которые могут привести к потенциальным потерям для кредитной организации (например, штрафам)?
10. Обязана ли кредитная организация регистрировать в базе событий события операционного риска с величиной потерь менее порога регистрации, установленного в соответствии с пунктом 6.5 Положения
11. Является ли факт потери кредитной организацией кредитного досье заемщика событием операционного риска, которое подлежит регистрации в базе событий? Как рассчитать потери по данному событию?
12. Просьба уточнить следующие вопросы относительно регистрации в базе событий события операционного риска, связанного с предъявлением к кредитной организации судебного иска некредитного характера:
на какую дату регистрировать событие (дата подачи иска, на дату получения решения суда по иску, на дату оплаты исполнительных документов);
каким образом следует производить учет потерь по данному событию?
13. Каковы критерии определения даты окончания события операционного риска? Может ли дата окончания события операционного риска устанавливаться в следующих случаях:
по истечении срока исковой давности по взысканию потенциального штрафа, определенного при регистрации события операционного риска в базе событий;
по истечении срока исковой давности по факту подачи искового заявления третьим лицом в суд о привлечении кредитной организации к ответственности;
по факту фактической оплаты штрафных санкций или отсутствия решений надзорных органов о их применении после проведения встречных мероприятий в течение 6 месяцев – 1 года;
погашение ссудной задолженности и восстановление доначисленных резервов на возможные потери по ссудам;
по факту выполнения мероприятий по уменьшению последствий реализации событий операционного риска?
14. К какому виду потенциальных потерь следует относить потенциальные потери кредитной организации, связанные с возможными штрафными санкциями, которые могут быть применены к кредитной организации в результате реализованного события операционного риска?
15. Является ли факт наличия исправительной записи по счетам бухгалтерского учета событием операционного риска, в том числе при фактическом отсутствии потерь со стороны кредитной организации/клиента (например, в результате сбоя в информационной системе кредитной организации были излишне начислены пени/проценты и списаны со счета клиента Банка, при обнаружении инцидента были произведены исправительные проводки)?
16. Следует ли считать событие операционного риска, связанное с нарушением законодательства РФ по причине операционного риска (например, несвоевременную отправку отчетности в государственные органы из-за сбоя в информационной системе или ошибки работка кредитной организации) событием операционного риска, которое связано с регуляторным риском, и подлежит ли данное событие отражению в отчетах по управлению операционным риском и в отчетах по управлению регуляторным риском?
17. Каким образом следует отразить в базе событий корректировку величины потерь или возмещений в случае проведения исправительных бухгалтерских записей (красное сторно)?
18. Следует ли регистрировать в базе событий инциденты, связанные с реализацией угрозы информационной безопасности из-за действий клиента или контрагента кредитной организации или действий третьих лиц в результате компрометации им или третьими лицами данных?
19. Факты недостачи, которые были выявлены и урегулированы в течение 48 часов, следует считать событиями операционного риска, которые подлежат регистрации в базе событий, или индикаторами эффективности контрольных процедур? Следует ли относить данные события к потенциальным потерям от реализации операционного риска?
Ответ
от 20.01.2021 № 716-P-2021/12
По вопросу 1.
Кредитная организация вправе группировать отдельные мелкие события операционного риска в группу событий в соответствии с пунктом 6.12 Положения
Для приведенного примера кредитная организация вправе определить во внутренних документах правила выявления недостач в разрезе материально ответственных лиц и регистрировать такие события операционного риска по мере превышения накопленным итогом порога регистрации, установленного в соответствии с пунктом 6.5 Положения
По вопросу 2.
Обращаем внимание, что Положение
Любые проводки в бухгалтерском учете по списанию актива осушевляются в соответствии с учетной политикой кредитной организации в корреспонденции с дебетованием либо пассивного счета ранее сформированных резервов (сформированных в корреспонденции со счетами расходов), либо напрямую с активными счетами расходов/убытков. В соответствии с пунктом 3.12 Положения
Статус «оценка потерь от реализации события операционного риска завершена» присваивается событию операционного риска в том случае, когда кредитная организация признает, что новых потерь (как прямых, так и косвенных) не возникнет и что не ожидается получение возмещений по этому событию операционного риска. В случае невозможности определения суммы потерь по событию операционного риска на момент регистрации события операционного риска в базе событий должен указываться статус «оценка потерь от реализации события операционного риска не завершена».
Например, в случае если событие операционного риска связано с реализацией кредитного риска, то статус «оценка потерь от реализации события операционного риска завершена» необходимо указывать в базе событий после восстановления резервов, когда ссуда либо полностью погашена, либо списана с бухгалтерского баланса, учитывая, что наличие ссуды на бухгалтерском балансе даже при наличии 100% сформированного резерва может приводить к дополнительным убыткам, связанным с дальнейшими затратами на ее взыскание, реализацию залога, юридическими расходами, которые также следует относить к прямым потерям от события операционного риска в отношении данной ссуды в соответствии с абзацем восьмым подпункта 3.12.1 пункта 3.12 Положения
По вопросу 3.
Допускается накопление (агрегирование) проводок по изменению резервов в связи с курсовыми изменениями валютного кредита, на котором реализовалось событие операционного риска (например, признание кредита мошенническим) на внутримесячные даты с отражением агрегированных (накопленных) изменений резерва на месячную отчетную дату.
По вопросу 4.
Информация о суммах потерь и возмещений обновляется в базе событий по мере ее поступления, вне зависимости от периода учета, при условии обеспечения сохранности предыдущих значений в соответствии с требованиями пункта 6.19 Положения
По вопросу 5.
В поле базы событий «величина потери от реализации события операционного риска в рублях» в соответствии с абзацем двадцать девятым пункта 6.6 Положения
По вопросу 6.
В соответствии с абзацем третьим подпункта 6.7.1 пункта 6.7 Положения
По вопросу 7.
В рамках Положения
По вопросу 8.
В случае если потери от реализации операционного риска или возмещения по ним отражены на счетах бухгалтерского учета в разные отчетные периоды, кредитной организации следует регистрировать в базе событий данные потери и (или) возмещения в рамках одного события операционного риска, не создавая отдельную карточку события.
По вопросу 9.
В соответствии с подпунктом 9.2.1 пункта 9.2 Положения
По вопросу 10.
В соответствии с пунктом 6.5 Положения
Относительно примера, приведенного в вопросе, сообщаем, что Положение
Обращаем внимание, что в соответствии с пунктами 6.9 – 6.10 Положения
По вопросу 11.
Утеря кредитной организацией кредитного досье является событием операционного риска, которое следует регистрировать в базе событий с учетом порога регистрации, определяемого в соответствии с пунктом 6.5 Положения
По вопросу 12.
Предъявление к кредитной организации судебного иска является событием правового риска, который является видом операционного риска в соответствии с абзацем четвертым пункта 1.4 Положения
В случае когда по исковому требованию резерв по обязательствам некредитного характера не был сформирован (например, в случае отказа судом первой инстанции в удовлетворении иска или его возврата истцу до рассмотрения по существу), данное событие не следует удалять из базы событий, оставив его как событие операционного риска с потенциальной потерей.
По вопросу 13.
Положение
Каждый из примеров, приведенных в вопросе, может быть критерием окончания периода оценки потерь от события в зависимости от его характера и особенностей при условии отсутствия иных потерь или возмещения по данному событию операционного риска.
По вопросу 14.
Потенциальные потери, связанные с возможными штрафными санкциями, которые могут быть применены к кредитной организации в результате реализованного события операционного риска, следует относить к «другим потенциальным потерям», определяемым в соответствии с абзацем третьим подпункта 3.13.3 пункта 3.13 Положения
По вопросу 15.
Примеры, приведенные в вопросе, относятся к событиям операционного риска с потенциальными потерями. В соответствии с подпунктом 9.2.1 пункта 9.2 Положения
По вопросу 16.
События операционного риска, связанные нарушением кредитной организацией законодательства РФ по причине операционного риска, следует регистрировать в базе событий как события операционного риска, связанные с регуляторным риском. Кредитной организации следует отражать данные события как в отчетах по управлению операционным риском, так и в отчетах по управлению регуляторным риском.
По вопросу 17.
В соответствии с пунктом 6.19 Положения
По вопросу 18.
Инциденты, связанные с реализацией угрозы информационной безопасности из-за действий клиента или контрагента кредитной организации или действий третьих лиц в результате компрометации им или третьими лицами данных, в том числе осуществленные переводы или попытки переводов денежных средств со счетов клиентов или контрагентов, относятся к риску информационной безопасности и должны регистрироваться в базе событий.
Дополнительные комментарии по данному вопросу размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
По вопросу 19.
В случае если сумма недостачи была отражена на счетах бухгалтерского учета, она признается прямой потерей, которую необходимо регистрировать в базе событий операционного риска. Поступившие затем деньги в целях компенсации (закрытия) данной недостачи следует отражать в базе событий как возмещение по данному событию операционного риска.
В случае если недостача была предотвращена до отражения проводки на счетах бухгалтерского учета средствами внутреннего контроля, сумма недостачи относится к потенциальным потерям.
Кредитная организация вправе для целей управления операционным риском разработать отдельный подвид ключевых индикаторов операционного риска по событиям операционного риска, которые были предотвращены до закрытия операционного дня для оценки эффективности последующего контроля и мер, направленных на уменьшение негативного влияния операционного риска.
1. Являются ли случаи хищения денежных средств у клиентов кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) без использования программных и(или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (например, социальная инженерия, фишинг, хищения, связанные с заменой SIM-карт, хищения в случае несанкционированного физического доступа третьих лиц к банковской карте или мобильному устройству клиента) риском информационной безопасности, а также к какой категории источников риска они относятся в соответствии с пунктом 2 приложения 5 к Положению Банка России от 8 апреля 2020 года
Кроме того, какие риски следует относить к другим видам риска, указанным в абзаце втором пункта 7.2 Положения Банка России
2. Соответствует ли определение «компьютерная атака», используемое в Положении Банка России
3. Согласно пункту 4.1 приложения 5 к Положению Банка России
4. Какие события риска информационной безопасности, в том числе киберриска, могут привести к качественным потерям, указанным в пункте 4.3 приложения 5 к Положению Банка России
5. Каким образом следует учитывать в соответствии с требованиями Положения Банка России
Ответ
от 11.11.2020 № 716-P-2020/11
По вопросу 1.
Перечисленные случаи хищения денежных средств у клиентов кредитной организации относятся к «другим видам риска информационной безопасности, связанным с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры», указанному в абзаце третьем пункта 7.2 Положения Банка России
По вопросу 2.
Термин «компьютерная атака» применяется в Положении Банка России
По вопросу 3.
В соответствии с подпунктом 3.12.3 пункта 3.12 Положения Банка России №
Кредитная организация вправе самостоятельно разработать в соответствии с пунктом 3.14 Положения Банка России
По вопросу 4.
Примером события риска информационной безопасности, приводящего к качественным потерям, является DDOS-атака, которая может остановить выполнение бизнес-процесса кредитной организации или нарушить его функционирование, нарушить целостность информации, хранящейся в информационных базах.
Обращаем внимание, что категория «другие потери качества объектов информационный инфраструктуры кредитной организации» создана для того, чтобы кредитные организации могли относить к данной категории другие потери, не перечисленные в приложении 5 к Положению Банка России
По вопросу 5.
В целях регулирования работы кредитной организации с операционными рисками, которые не реализовались в настоящий момент, но могут реализоваться в будущем, Положением Банка России
Все вышеперечисленные процедуры применимы к управлению риском информационной безопасности как части операционного риска.
Обращаем внимание, что организатором и ответственным за методологию данных процедур является подразделение, ответственное за организацию управления операционным риском.
1. Подлежат ли регистрации в базе событий кредитной организации (головной кредитной организации) (далее – кредитная организация) события операционного риска, по которым отсутствуют прямые и непрямые потери?
2. Обязан ли банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, регистрировать в базе событий информацию о качественных потерях от реализации операционного риска и потенциальных потерях, указанных в абзаце третьем подпункта 3.13.3 пункта 3.13 Положения Банка России от 8 апреля 2020 года №
3. В случае если, по мнению кредитной организации, событие операционного риска реализовалось в рамках нескольких направлений деятельности кредитной организации согласно классификации, указанной в пункте 3.6 Положения Банка России
4. Может ли кредитная организация не отражать в базе событий направления деятельности в разрезе составляющих их процессов в случае, если событие операционного риска затрагивает направление в целом, а не один из его процессов?
5. Обязан ли банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, внедрить специальное программное обеспечение, которое обеспечит функционирование системы управления операционным риском, или кредитная организация, если характер и масштаб ее деятельности не предусматривает наличие большого объема операций и транзакций в единицу времени, вправе использовать для учета сбора и хранения данных о событиях операционного риска такие программные продукты Microsoft Office, как Excel или Access?
6. Какую информацию должно содержать поле базы событий «величина потери от реализации события операционного риска» в соответствии с абзацем двадцать девятым пункта 6.6 Положения Банка России
7. Обязана ли кредитная организация в соответствии с абзацем третьим подпункта 6.7.1 пункта 6.7 Положения Банка России
8. Согласно пункту 6.6 Положения Банка России
Ответ
от 30.10.2020 № 716-P-2020/10
По вопросу 1.
Положение Банка России
По вопросу 2.
Глава 3 Положения банка России
В соответствии с подпунктом 9.2.1 пункта 9.2 Положения Банка России №
По вопросу 3.
В соответствии с пунктом 3.9 Положения Банка России
По вопросу 4.
В соответствии с подпунктом 4.1.1 пункта 4.1 Положения Банка России №
Если кредитная организация считает, что событие операционного риска реализовалось в рамках нескольких процессов, относящихся к одному направлению деятельности кредитной организации, или не может выделить конкретный процесс в рамках данного направления деятельности, кредитная организация вправе указать в базе событий операционного риска, что данное событие относится ко всем процессам в рамках данного направления деятельности, предусмотрев соответствующее значение в классификации процессов во внутренних документах кредитной организации.
По вопросу 5.
Положение Банка России
По вопросу 6.
Перечень информации, которая должна содержаться в базе событий кредитной организации, представлен в пункте 6.6 Положения Банка России №
Обращаем внимание, что в соответствии с пунктом 6.6 Положения Банка России
По вопросу 7.
В соответствии с пунктом 6.7 Положения Банка России
По вопросу 8.
В случае если сумма возмещений в рублях, рассчитанная по официальному курсу иностранной валюты, установленному Банком России, превышает сумму потерь в рублях, в базе событий должна быть отражена полная сумма полученного возмещения в рублях, но при расчете чистых прямых потерь в целях расчета размера операционного риска для нормативов достаточности капитала должна учитываться только сумма возмещения в рублях, не превышающая сумму потерь в рублях.
1. Может ли кредитная организация (головная кредитная организация) (далее – кредитная организация), исходя из масштаба и характера деятельности, не определять должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности, а возложить его функции на коллегиальный исполнительный орган?
2. Может ли должностным лицом, ответственным за функционирование системы обеспечения информационной безопасности, быть руководитель службы информационной безопасности, не участвующий в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем, с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации?
Ответ
от 29.10.2020 № 716-P-2020/9
По вопросу 1.
В соответствии с пунктом 7.7. Положения Банка России от 8 апреля 2020 года №
При этом норма подпункта 7.9.2 пункта 7.9 Положения Банка России
По вопросу 2.
Кредитная организация, исходя из характера и масштаба деятельности, вправе возложить функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, на руководителя службы информационной безопасности, не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем, при условии прямого подчинения лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, в соответствии с пунктом 7.7. Положения Банка России
1. Просьба подтвердить понимание банком значения термина «управленческие процессы» как процессов принятия управленческих решений коллегиальным единоличным исполнительными управления и/или кредитным комитетом кредитной организации (головной кредитной организации) (далее – кредитная организация).
2. Какое подразделение кредитной организации может выполнять процедуры управления риском ошибок в управленческих процессах?
Ответ
от 28.10.2020 № 716-P-2020/8
По вопросу 1.
В соответствии с абзацем шестым пункта 1.4 Положения Банка России от 8 апреля 2020 года
По вопросу 2.
Кредитная организация самостоятельно определяет специализированное подразделение или несколько подразделений, ответственное (ответственных) за управление риском ошибок в управленческих процессах в зависимости от характера и масштабов деятельности, организационной структуры управления, организации внутренних процессов принятия решений и распределения полномочий и вправе возложить функцию по управлению (координацию) риском ошибок в управленческих процессах в целом на подразделение, ответственное за организацию управления операционным риском, или службу управления рисками.
Ответ
от 27.10.2020 № 716-P-2020/7
Отчеты, предусмотренные подпунктом 4.2.2 пункта 4.2 Положения Банка России от 8 апреля 2020 года
Кредитная организация вправе включать отчеты по управлению операционным риском (или их элементы), разработанные в соответствии с требованиями Положения Банка России №
1. Следует ли включать данные о фактических значениях контрольных показателей уровня операционного риска, определяемых в соответствии с абзацами третьим – шестым подпункта 1.1.1 приложения 1 к Положению Банка России от 8 апреля 2020 года
2. Может ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) утверждать контрольные и сигнальные значения контрольных показателей уровня операционного риска в целом по кредитной организации на совете директоров (наблюдательном совете), а в разрезе направлений деятельности кредитной организации, в том числе в разрезе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса, — на ином коллегиальном органе кредитной организации, уполномоченном на это (например, комитете по рискам)?
3. Может ли кредитная организация установить сигнальные и контрольные значения контрольных показателей уровня операционного риска на период не менее одного года?
Ответ
от 26.10.2020 № 716-P-2020/6
По вопросу 1.
В соответствии с подпунктом 4.2.2 пункта 4.2 Положения Банка России
Кредитная организация ежеквартально рассчитывает значения контрольных показателей уровня операционного риска, изложенных в абзацах третьем-шестом подпункта 1.1.1 приложения 1 к Положению Банка России
в показателе «отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за годовой период, к базовому капиталу кредитной организации на последнюю отчетную дату года» значения валовых прямых потерь от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности суммируются за календарный год на отчетную дату нарастающим итогом (например, при предоставлении отчета за 3 квартал 2020 года, сумма потерь рассчитывается за период с 1 квартала 2020 года по 3 квартал 2020 года включительно);
в показателе «отношение общей суммы чистых (фактических) прямых потерь (включая чистые (фактические) прямые потери от реализации событий риска информационной безопасности), понесенных кредитной организацией за год, к показателю объема операционного риска в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения Банка России
в показателе «отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за год, к показателю объема операционного риска» значения валовых прямых потерь (включая валовые прямые потери от реализации событий риска информационной безопасности) суммируются за календарный год на отчетную дату нарастающим итогом;
в показателе «отношение суммы чистых (фактических) прямых потерь от реализации событий операционного риска, рассчитанных в соответствии с пунктом 6.18 настоящего Положения, понесенных кредитной организацией за год, за вычетом потерь от реализации событий риска информационной безопасности к показателю объема операционного риска» значения чистых (фактических) прямых потерь (включая чистые (фактические) прямые потери от реализации событий риска информационной безопасности) суммируются за календарный год на отчетную дату нарастающим итогом.
По вопросу 2.
Абзац второй пункта 5.2 Положения Банка России
Указанный абзац не регулирует порядок утверждения советом директоров (наблюдательным советом) кредитной организации состава и значений контрольных показателей уровня операционного риска. Кредитная организация, в соответствии с пунктом 1 приложения 1 к Положению Банка России
Например, кредитная организация может определить во внутренних документах, что совет директоров (наблюдательный совет) ежегодно рассматривает и утверждает только значения контрольных показателей уровня операционного риска в целом по кредитной организации, указанных в приложении 1 к Положению Банка России
По вопросу 3.
В соответствии с абзацем вторым пункта 5.1 Положения Банка России
1. Требуется ли ежегодное рассмотрение советом директоров (наблюдательным советом) кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) вопроса о необходимости внесения изменений в требования политики управления операционным риском, политики информационных систем и в требования к информационным системам или достаточно рассмотрения данного вопроса коллегиальным исполнительным органом кредитной организации?
2. В соответствии с абзацем вторым подпункта 4.1.4 пункта 4.1 Положения Банка России от 8 апреля 2020 года
Ответ
от 23.10.2020 № 716-P-2020/5
По вопросу 1.
Внутренние документы кредитной организации, разрабатываемые кредитной организацией в соответствии с требованиями Положения Банка России
Кредитная организация вправе включать внутренние документы (или их элементы), разработанные в соответствии с требованиями Положения Банка России №
По вопросу 2.
В соответствии с подпунктом 4.1.4 пункта 4.1 Положения Банка России
Может ли, исходя из масштабов деятельности кредитной организации (головной кредитной организации) (далее – кредитная организация), одно и то же должностное лицо быть ответственным за обеспечение функционирования информационных систем и за обеспечение непрерывности функционирования информационных систем?
Может ли, исходя из масштабов деятельности кредитной организации, одно и то же подразделение одновременно быть ответственным за обеспечение функционирования информационных систем и за обеспечение непрерывности функционирования информационных систем?
Ответ
от 22.10.2020 № 716-P-2020/4
Нормами Положения Банка России от 8 апреля 2020 года
Обращаем внимание, что в соответствии с подпунктом 8.8.10 пункта 8.8 Положения Банка России №
Ответ
от 21.10.2020 № 716-P-2020/3
В соответствии с абзацами двенадцатым-тринадцатым подпункта 3.13.2 пункта 3.13 Положения Банка России1. Устанавливает ли Положение Банка России от 8 апреля 2020 года
2. Может ли кредитная организация (головная кредитная организация) (далее – кредитная организация) использовать контрольные показатели уровня операционного риска в качестве КИР?
3. Устанавливает ли Положение Банка России
4. Устанавливает ли Положение Банка России
5. Может ли банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, не использующий методы оценки величины риска и общей потребности в капитале, отличные от установленных Банком России в соответствии с пунктом 5.1 Указания Банка России
Ответ
от 20.10.2020 № 716-P-2020/2
По вопросу 1.
В соответствии с подпунктом 9.2.1 пункта 9.2. Положения Банка России
По вопросу 2.
В соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России
Контрольные показатели уровня операционного риска, разрабатываемые в соответствии с приложением 1 к Положению Банка России №
По вопросу 3.
В соответствии с подпунктом 9.2.1 пункта 9.2 Положения Банка России
По вопросу 4.
Положение Банка России
По вопросу 5.
Банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, с учетом масштаба и характера деятельности вправе самостоятельно определить во внутренних документах дополнительные способы управления операционным риском, указанные в пункте 2.1 Положения Банка России
1. Может ли кредитная организация (головная кредитная организация) (далее – кредитная организация), исходя из масштаба и характера деятельности, не выделять в составе службы управления рисками отдельное структурное подразделение, ответственное за организацию управления операционным риском?
2. Могут ли специализированные подразделения кредитной организации одновременно являться центрами компетенций?
3. Могут ли подразделения кредитной организации, организационно входящие в состав службы управления рисками, являться центрами компетенций?
4. Может ли банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, не создавать отдельного подразделения в службе управления рисками, а назначить работника службы управления рисками, ответственного за организацию управления операционным риском?
Ответ
от 19.10.2020 № 716-P-2020/1
По вопросу 1.
В случае если в организационной структуре службы управления рисками кредитной организации не предусмотрено выделение внутренних подразделений по управлению различными видами рисков, кредитная организация вправе не выделять отдельное подразделение, ответственное за организацию управления операционным риском, в составе службы управления рисками, а назначить работника (работников) службы управления рисками, ответственного (ответственных) за организацию управления операционным риском. Данным работником может быть назначен в том числе руководитель службы управления рисками кредитной организации.
По вопросу 2.
Специализированное подразделение кредитной организации может выполнять функции центра компетенций, указанные в абзаце восьмом пункта 1.3 Положения Банка России от 8 апреля 2020 года
По вопросу 3.
Если в состав функций службы управления рисками кредитной организации входят иные функции, чем управление рисками, в части выполнения данных функций служба управления рисками может являться центром компетенций. В этом случае полномочия работников службы управления рисками, выполняющих функции центра компетенций, должны быть определены во внутренних документах кредитной организации с учетом исключения конфликта интересов в соответствии с требованиями подпункта 4.1.3 пункта 4.1 Положения Банка России
По вопросу 4.
См. ответ на вопрос 1.