№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
О ведении базы событий (часть 4)
Вопрос
1. Возможно ли определить ответственным за ведение базы событий одного работника кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) (например, руководителя службы управления рисками), в обязанности которого будет входить ведение базы событий с определением всех элементов классификации в отношении всех видов операционного риска?
2. Просьба привести примеры, когда исправительные проводки (операции сторно) являются событиями операционного риска, обязательными к регистрации в базе событий операционного риска кредитной организации.
3. Каким образом в базе событий следует регистрировать событие операционного риска, если в рамках него выявлено несколько видов операционного риска, управляемых разными специализированными подразделениями (например, если вследствие технического сбоя клиенту были неверно рассчитаны проценты по вкладу, клиент обратился в суд и суд признал правоту клиента)?
4. В случае если по результатам проверки службы безопасности кредитной организации выявлено, что заемщик на момент получения кредита предоставил поддельную справку о доходах, следует ли указывать в базе событий отдельный вид операционного риска – мошеннические действия третьих лиц?
5. Просьба в приведенном ниже примере указать, какую из дат следует указывать как дату выявления и дату реализации события операционной риска:
11.12.2020 – выявлена недостача денежных средств в кассе, 16.12.2020 – по результатам проверки службы безопасности установлено, что недостача образовалась в результате хищения денежных средств работником кредитной организации. Кредитной организацией подано заявление в правоохранительные органы. 20.02.2021 — кредитной организацией получено обвинительное заключение от правоохранительных органов, кредитная организация подает иск о взыскании задолженности с виновного кассира.
6. Что будет являться событием операционного риска в следующем примере: вследствие сбоя информационной системы кредитной организации 1000 клиентов не могли осуществлять переводы денежных средств со счета банковской карты в личном кабинете через мобильное приложение, при этом 150 клиентов обратились с жалобой в кредитную организацию о том, что денежные средства были списаны с их счета, но не поступили адресату?
7. К какому из направлений деятельности кредитной организации, указанных в пункте 3.9 Положения Банка России от 8 апреля 2020 года
8. К какому направлению деятельности в целях классификации событий операционного риска в соответствии с пунктом 3.9 Положения
вложения в долгосрочные активы, предназначенные для продажи (квартиры дома, земельные участки);
вложения в недвижимость, временно не используемую в основной деятельности (квартиры, земельные участки, нежилые помещения), в том числе сдаваемые в аренду?
Может ли кредитная организация расширить классификацию событий операционного риска по направлениям деятельности первого уровня, указанную в пункте 3.9 Положения
9. В каком случае статус «оценка потерь от события операционного риска завершена» присваивается событию операционного риска или группе однородных событий операционного риска?
10. Каким образом следует заполнять раздел базы событий «агрегированная сумма косвенных потерь», указанный в абзаце тридцать шестом пункта 6.6 Положения
11. Какие направления деятельности кредитной организации следует относить к направлениям деятельности второго уровня классификации, предусмотренном пунктом 3.10 Положения
12. Просьба уточнить, какие виды потерь относятся к первому и второму уровням классификации в соответствии с пунктом 3.12 Положения
13. Следует ли считать событием операционного риска технические недостачи в устройствах самообслуживания (далее – УС) (например, вследствие некорректного обнуления счетчиков банкомата, ввода неверной суммы загрузки, сбоя при отражении операций по счетам бухгалтерского учета ПО и иных факторов)? Возможно ли установить срок регистрации данных событий операционного риска в базе событий до 1 месяца?
14. Следует ли считать событием операционного риска потери кредитной организации, связанные с выплатой клиентам возмещений их потерь, реализованных по причине сбоя в работе УС (например, когда в целях сохранения лояльности клиентов кредитная организация осуществляет возмещение клиенту потерь по сбойным операциям до проведения инкассации УС)?
15. Следует ли считать событием операционного риска списания по картам, которые являются стандартным функционалом продукта (например, операции reversal, adjustments, charge-back)?
16. Следует ли считать событием операционного риска образование задолженности по эквайринговым операциям со стороны компании, при их погашении в течение календарного месяца?
17. Каким образом следует рассчитывать сумму потерь по виду прямых потерь «начисление резервов по прочим потерям и резервов-оценочных обязательств некредитного характера» в соответствии с пунктом 6.1 Положения Банка России от 23 октября
18. В каком случае судебный иск, поданный к кредитной организации или самой кредитной организацией, следует относить к правовому риску как виду операционного риска в соответствии с пунктом 1.4 Положения
19. Следует ли считать событием операционного риска образование задолженности и формирование резервов при закрытии позиции на финансовых рынках в связи с недостаточностью обеспечения, при урегулировании задолженности со стороны клиента в течение следующего календарного месяца?
20. Следует ли считать событием операционного риска потенциальные размеры штрафов из-за ошибок или технических сбоев до момента поступления постановления или акта по результатам проверки со стороны регулирующих органов?
21. Следует ли считать событием операционного риска факты образования дебиторской задолженности со сроком
22. Следует ли считать событием операционного риска факты образования технических овердрафтов по счетам / картам клиентов в случае урегулирования задолженности в срок
23. Следует ли считать потерями от события операционного риска госпошлины по исковым заявлениям до момента произведения соответствующей выплаты?
24. Следует ли считать потерями от события операционного риска факт некорректного начисления дисконтного дохода по облигациям в портфеле кредитной организации в связи со сбоем в программном обеспечении, в случае если данное событие было выявлено работниками кредитной организации в рамках внутреннего контроля, выполнены исправительные проводки?
25. Следует ли считать потерями от события операционного риска факт излишнего отнесения на расходы суммы арендной платы в связи с досрочным расторжением договора аренды нежилого помещения, в случае если данное событие было выявлено работниками кредитной организации в рамках внутреннего контроля, выполнены исправительные проводки?
26. Просим пояснить необходимость регистрации событий операционного риска, финансовым результатом по которым является прибыль (например, следует ли считать событием операционного риска излишки, выявленные при инкассации банкомата либо в кассе, отнесенные на доходы кредитной организации)?
27. Следует ли считать событием операционного риска факт формировании кассовых документов работником кредитной организации с неверным указанием кассового символа?
28. Следует ли считать событием операционного риска факт указания неверного срока полномочий лица, наделенного правом подписи?
29. Следует ли считать событием операционного риска факт несвоевременной переоценки резерва в следующей ситуации:
новый документ, удостоверяющего личность, был предоставлен 20.04.2019, а резерв восстановлен 30.05.2019 (задолженность переведена из 5 категории качества в 3 категорию качества, сумма высвободившихся денежных средств составила более 1 млн руб.)?
30. Следует ли считать событием операционного риска предотвращенные кредитной организацией события социальной инженерии, не повлекшего за собой убытка как для кредитной организации, так и для клиента?
31. Следует ли считать событием операционного риска события внешнего мошенничества по отношению к клиентам кредитной организации, в случае если клиент самостоятельно сообщил сведения для возможности кражи его средств?
32. Следует ли считать событием операционного риска выплаты клиентам по бизнес-решениям, которые являются проявлением лояльности к клиенту (например, прощение долга, выплаты в рамках социальной инженерии, списание безнадежной задолженности, по которой ранее был создан 100% резерв под кредитный риск)?
33. Следует ли считать событием операционного риска сбои в информационных системах кредитной организации (менее 24 часов), не повлекшие за собой потерь?
Ответ
1. В соответствии с пунктом 6.21 Положения
Обращаем внимание, что в соответствии с абзацем седьмым пункта 1.3 Положения
В случае ведения единой базы событий работниками службы управления рисками, к ответственности которых в соответствии с внутренним порядком ведения базы событий может быть отнесена регистрация и учет событий информационной безопасности, кредитная организация в соответствии с абзацем вторым подпункта 7.9.2 пункта 7.9 Положения
2. В соответствии с абзацем четвертым подпункта 6.7.1 пункта 6.7 Положения №
3. В соответствии с абзацем семнадцатым пункта 6.6 Положения
4. В приведенном в вопросе примере не следует указывать мошенничество как отдельный вид операционного риска, так как данное событие может реализоваться во всех направлениях деятельности кредитной организации и может быть причиной реализации отдельных видов операционного риска, указанных в пункте 1.4 Положения
5. В приведенном в вопросе примере датой выявления события операционного риска следует считать дату, когда кредитной организацией был выявлен факт недостачи (11.12.2020). В соответствии с абзацем четвертым пункта 6.6 Положения
Комментарии Банка России по вопросу определения дат учета потерь и возмещений по событию операционного риска размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
6. В приведенном вопросе примере событием операционного риска является сбой информационной системы, повлекший невозможность получения клиентами кредитной организации ее услуг, следствием которого явились жалобы клиентов. Таким образом, в указанной ситуации следует зарегистрировать в базе событий одно событие операционного риска, связанное со сбоем информационной системы. В случае если жалобы клиентов повлекли для кредитной организации какие-либо компенсационные выплаты клиентам, их следует регистрировать в качестве прямых потерь от данного события операционного риска, при этом общее количество жалоб клиентов и общую сумму претензий клиентов, связанных с данным событием операционного риска, рекомендуем учитывать для оценки потенциальных потерь от данного события операционного риска.
7. Бизнес-процессы кредитной организации по кредитованию физических лиц, управление и оценка которых проводится как на индивидуальной, так и на коллективной основе, следует классифицировать как направление деятельности «розничное банковское обслуживание» в соответствии с подпунктом 3.9.3 пункта 3.9 Положения
8. Бизнес-процессы кредитной организации, указанные в вопросе, считаем целесообразным относить к направлению деятельности «обеспечение деятельности кредитной организации» в соответствии с подпунктом 3.9.9 пункта 3.9 Положения
9. Статус «оценка потерь от события операционного риска завершена» присваивается событию операционного риска или группе однородных событий операционного риска, объединенных в группу на основании критериев однородности событий операционного риска в соответствии с требованиями пункта 6.12 Положения
10. В разделе базы событий «агрегированная сумма косвенных потерь», заполняемом в соответствии с абзацем тридцать шестым пункта 6.6 Положения
11. В целях классификации событий операционного риска по направлениям деятельности кредитной организации в соответствии с пунктом 3.10 Положения
12. Виды прямых потерь, указанные в первых абзацах подпунктов 3.12.1 – 3.12.10 пункта 3.12 Положения
13. Сумма недостачи признается прямой потерей, которую необходимо регистрировать в базе событий, если данная сумма была отражена на счетах расходов/убытков бухгалтерского учета (или на счетах учета дебиторской задолженности как отложенные расходы). Поступившие затем компенсации данной недостачи следует отражать в базе событий как возмещение по данному событию операционного риска. В то же время сумму недостачи следует относить к потенциальным потерям, если данная недостача была предотвращена средствами внутреннего контроля до отражения проводки на счетах бухгалтерского учета. Если дата регистрации события операционного риска в базе событий ранее даты отражения недостачи как прямой потери по нему, то сумму недостачи следует отражать в базе событий как потенциальную потерю, а с даты ее отражения в бухгалтерском учете – как прямую потерю.
Кредитная организация вправе для целей управления операционным риском разработать отдельный подвид ключевых индикаторов операционного риска по событиям операционного риска, которые были предотвращены до закрытия операционного дня для оценки эффективности последующего контроля и мер, направленных на уменьшение негативного влияния операционного риска.
Положение
Также обращаем внимание, что в соответствии с подпунктом 4.2.1 пункта 4.2 Положения
Для цели снижения трудоемкости ведения базы событий, в том числе уменьшения количества записей, кредитная организация вправе группировать отдельные мелкие события операционного риска в группу событий в соответствии с пунктом 6.12 Положения
14. В соответствии с подпунктом 3.12.3 пункта 3.12 Положения
Данные события подлежат регистрации в базе событий, при этом выявляемые излишки денег в УС, за счет которых урегулируются данные потери, следует отражать в базе событий как возмещения к данным потерям при условии, что выявленные излишки обнаружены в том же УС, в котором были зарегистрированы сбои, вызвавшие выплаты клиентам компенсаций, «закрываемых» данными излишками.
Дополнительные комментарии Банка России по вопросу определения потерь от реализации событий операционного риска, связанных с выплатой кредитной организацией компенсаций клиентам, контрагентам на добровольной основе, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора»,
15. В случае если операция списания по картам является стандартной услугой и предусмотрена условиями продукта, а также не связана с реализацией источников операционного риска, указанных в пункте 3.3 Положения
16. В случае если договором оказания услуг эквайринга предусмотрена ежемесячная оплата услуг, данное событие (временной разрыв между оказанием услуги до ее оплаты) не является событием операционного риска.
17. Начисление резервов по прочим потерям и резервов — оценочных обязательств некредитного характера в соответствии с пунктом 6.1 Положения
18. В соответствии с абзацем четвертым пункта 1.4 Положения №
В то же время в случае, если кредитная организация подала в суд иск как бизнес-операцию взыскания стандартной просроченной задолженности (то есть не образованной в результате события операционного риска), то данное событие не следует рассматривать как событие правового риска и (или) операционного риска. Но если кредитная организация проиграла такой иск в результате ошибок в судебном процессе (например, неверно составленном исковом требовании, ошибок в представленных документах, неверно выбранной тактики доказывания или соблюдения судебной процедуры и др.), то данное событие (проигрыш в суде) является правовым риском и потери по нему (например, уплаченные пошлины, присужденные судом к выплате компенсации и (или) штрафы и т д.) следует относить к потерям от реализации данного события правового риска как вида операционного риска.
Обращаем также внимание, что в случае если к кредитной организации подан судебный иск ее клиентом в связи с нарушением его прав вследствие правовых ошибок со стороны кредитной организации (например, кредитный договор составлен с нарушением норм законодательства), данное событие следует также рассматривать как событие правового риска.
В то же время в случае если причиной образования просроченной задолженности по кредиту не является источник операционного риска, то есть процедура оформления и выдачи кредита была совершена с соблюдением всех установленных правил и процедур, факт образования просроченной задолженности не является событием операционного риска, при этом подача кредитной организацией судебного иска по взысканию данной просроченной задолженности является способом управления кредитным риском.
19. В случае если недостаточность обеспечения при закрытии позиции возникает вследствие реализации источников операционного риска, указанных в пункте 3.3 Положения
20. Рекомендуем относить возможные потери кредитной организации в виде штрафов, которые могут быть предъявлены к кредитной организации вследствие нарушений с ее стороны по причине ошибок работников, технических сбоев и других источников операционного риска, указанных в пункте 3.3 Положения
В случае если в соответствии с требованиями главы 9 Положения
21. В случае если возникновение дебиторской задолженности связано с реализацией источников операционного риска, указанных в пункте 3.3 Положения
22. В случае возникновения технического овердрафта по причине реализации источников операционного риска, указанных в пункте 3.3 Положения
При формировании резерва по техническому овердрафту, в случае если не удалось урегулировать задолженность с клиентом в срок, установленный внутренними документами и (или) договором, следует отражать данные потери в базе событий как прямые потери. В то же время рекомендуем при урегулировании с клиентом суммы технического овердрафта в период, предусмотренный внутренними документами и (или) договором, относить данные потери к потенциальным потерям.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
23. При поступлении информации о подаче судебного иска к кредитной организации, в случае если данный иск связан с источником операционного риска, указанным в пункте 3.3 Положения
24. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
25. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
26. В случае если реализация события операционного риска не привела к прямым потерям для кредитной организации, а ее результатом могло стать отражение в бухгалтерском учете дохода кредитной организации, данное событие операционного риска следует рассматривать как событие операционного риска с потенциальными потерями, определяемыми путем моделирования неблагоприятного исхода данного события с определенной вероятностью (сценарное моделирование). Для вышеуказанного события операционного риска рекомендуем в базе событий в разделе «описание события операционного риска», предусмотренном абзацем тринадцатым пункта 6.6 Положения
27. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
28. В случае реализации источников операционного риска, указанных в пункте 3.3 Положения
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
29. Представленное в вопросе событие является событием операционного риска, результатом которого стало отражение в бухгалтерском учете дохода кредитной организации.
Дополнительные комментарии по отражению в базе событий операционного риска, результатом реализации которых является прибыль кредитной организации, см. в вопросе 26.
30. Относительно предотвращенных кредитной организацией событий социальной инженерии, не повлекших за собой убытка как для кредитной организации, так и для клиента, сообщаем, что Положение
31. Относительно событий внешнего мошенничества по отношению к клиентам кредитной организации в случае, если клиент самостоятельно сообщил сведения для возможности кражи его средств и украденные средства не были компенсированы клиенту кредитной организацией, сообщаем, что их следует относить к потенциальным потерям, определяемым в соответствии с абзацем вторым подпункта 3.13.3 пункта 3.13 Положения
32. В соответствии с подпунктом 3.12.3 пункта 3.12 Положения
Прощение долга клиенту в случае его добросовестности и отсутствия источников операционного риска в возникновении данного долга, не является событием операционного риска, в случае, если правила процедуры прощения долга установлены во внутренних документах и соблюдены все условия ее реализации.
33. Представленное в вопросе событие является событием операционного риска с непрямыми потерями (например, в виде простоя).
Правила регистрации в базе событий с непрямыми потерями кредитная организация определяет самостоятельно с учетом требований главы 9 Положения
Для целей соблюдения иных нормативных актов Банка России вправе самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, инцидентов риска информационной безопасности), которые были предотвращены и которые не привели как к прямым, так и непрямым потерям.