Банк России

Герб

Положение

№ 716-П от 08.04.2020 О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Ищете ответы в нормативных документах? Эксперты-практики Клерк.Консультаций оперативно ответят на ваши вопросы: помогут разобраться в нормативке, налогах, учете, заполнить отчет и многое другое.
[редакция от 25.03.2022]

Зарегистрировано в Минюсте России 03 июня 2020 г. № 58577

(с изм. и доп., вступ. в силу с 01.01.2023)

На основании статьи 57.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2013, N 27, ст. 3438; 2019, N 49, ст. 6953) (далее - Федеральный закон N 86-ФЗ) и статьи 11.1-2 Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 2013, N 27, ст. 3438; 2019, N 49, ст. 6953) (далее - Федеральный закон "О банках и банковской деятельности") Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе.

 

Глава 1. Общие положения

 

1.1. Кредитная организация и головная кредитная организация банковской группы, за исключением центрального контрагента в значении, установленном в статье 2 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте" (Собрание законодательства Российской Федерации, 2011, N 7, ст. 904; 2016, N 1, ст. 23; 2017, N 30, ст. 4456), и центрального депозитария в значении, установленном в статье 2 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (Собрание законодательства Российской Федерации, 2011, N 50, ст. 7356), должны организовать управление операционным риском в соответствии с настоящим Положением.

Понятие "операционный риск" применяется в настоящем Положении в значении, установленном в пункте 4.1 приложения 1 к Указанию Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированному Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, 7 декабря 2017 года N 49156, 5 сентября 2018 года N 52084, 3 июня 2020 года N 58576 (далее - Указание Банка России N 3624-У).

1.2. Кредитная организация (головная кредитная организация банковской группы) выявляет случаи фактической реализации операционного риска (далее - событие операционного риска) в соответствии с главой 2 настоящего Положения, классифицирует события операционного риска в соответствии с главой 3 настоящего Положения и фиксирует события операционного риска в базе событий в соответствии с главой 6 настоящего Положения. Понятие "база событий" применяется в настоящем Положении в значении, установленном в пункте 4.3 приложения 1 к Указанию Банка России N 3624-У.

1.3. Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) включает следующие элементы:

процедуры управления операционным риском в соответствии с главой 2 настоящего Положения;

классификатор событий операционного риска, используемый в системе управления операционным риском, в соответствии с главой 3 настоящего Положения;

базу событий;

контрольные показатели уровня операционного риска в соответствии с главой 5 настоящего Положения;

подразделение кредитной организации (головной кредитной организации банковской группы), ответственное за организацию управления операционным риском, структурно входящее в службу управления рисками кредитной организации (головной кредитной организации банковской группы) (далее - подразделение, ответственное за организацию управления операционным риском);

специализированные подразделения кредитной организации (головной кредитной организации банковской группы, участников банковской группы (в последних при наличии), которые в рамках функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 настоящего Положения, в части отдельных видов операционного риска, определенных в пункте 1.4 настоящего Положения (далее - специализированное подразделение). В случае если специализированные подразделения организационно независимы от службы управления рисками кредитной организации (головной кредитной организации банковской группы), кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок координации руководителем подразделения, ответственного за организацию управления операционным риском, деятельности работников таких специализированных подразделений, связанной с управлением операционным риском, в части соблюдения процедур управления операционным риском, обмена информации, предоставления отчетности и других элементов взаимодействия;

подразделения кредитной организации (головной кредитной организации банковской группы), осуществляющие в рамках системы управления операционным риском идентификацию операционного риска, сбор информации и информирование о выявленном операционном риске как подразделения, ответственного за организацию управления операционным риском, так и подразделения, в котором выявлен операционный риск (в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы) в случае, если операционный риск выявлен в деятельности другого подразделения кредитной организации (головной кредитной организации банковской группы), оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах (далее - центры компетенций). К центрам компетенций в рамках системы управления операционным риском относятся подразделения кредитной организации (головной кредитной организации банковской группы), в функциональные обязанности которых входит осуществление операций и сделок в рамках своих процессов и которые несут ответственность за результаты выполнения процесса и за достижение целевых показателей процесса (далее - подразделения, ответственные за осуществление операций и сделок и за результаты процесса), и подразделения, обеспечивающие процессы кредитной организации (головной кредитной организации банковской группы);

подразделение кредитной организации (головной кредитной организации банковской группы), структурно независимое от службы управления рисками (например, служба внутреннего аудита), уполномоченное проводить ежегодную оценку эффективности функционирования системы управления операционным риском, в том числе оценку эффективности выполнения принятых в кредитной организации (головной кредитной организации банковской группы) процедур управления операционным риском, в соответствии с пунктом 4.4 настоящего Положения (далее - уполномоченное подразделение);

автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами кредитной организации (головной кредитной организации банковской группы), обеспечивающую функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий), в том числе сохранность данных и их защиту от искажений;

дополнительные элементы системы управления операционным риском, определенные в соответствии с главой 4 настоящего Положения.

1.4. Кредитная организация (головная кредитная организация банковской группы) для целей унификации управления операционным риском выделяет следующие виды операционного риска, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском:

риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации (далее - риск информационной безопасности);

риск отказов и (или) нарушения функционирования применяемых кредитной организацией информационных систем и (или) несоответствия их функциональных возможностей и характеристик потребностям кредитной организации (далее - риск информационных систем);

правовой риск в значении, установленном в пункте 3.3 Указания Банка России N 3624-У;

риск ошибок в управлении проектами, состоящий в недостатках и нарушениях организации процессов управления проектной деятельностью, направленных на изменение систем функционирования и поддержания работоспособности кредитной организации;

риск ошибок в управленческих процессах, состоящий в недостатках и нарушениях внутренних процессов кредитной организации, недостатках принятия решений по банковским сделкам и операциям, внутрихозяйственной деятельности;

риск ошибок в процессах осуществления внутреннего контроля, состоящий в недостатках и нарушениях системы внутреннего контроля, в том числе нарушениях правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, нарушениях внутренних правил совершения операций и сделок;

модельный риск в значении, установленном в пункте 4.2 приложения 1 к Указанию Банка России N 3624-У;

риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг;

риск ошибок процесса управления персоналом, состоящий в недостатках и нарушениях внутренних процессов кредитной организации в управлении персоналом, в том числе при подборе, найме, адаптации, увольнении, обеспечении безопасности и охраны труда, социальной поддержки, в системе вознаграждения и компенсации;

операционный риск платежной системы в значении, установленном в абзаце третьем пункта 1 приложения 2 к Положению Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", зарегистрированному Министерством юстиции Российской Федерации 22 декабря 2017 года N 49386 (далее - Положение Банка России N 607-П);

риск нарушения способности кредитной организации (головной кредитной организации банковской группы) поддерживать операционную устойчивость кредитной организации (головной кредитной организации банковской группы), включающую обеспечение непрерывности осуществления критически важных процессов и критически важных операций, определенных кредитной организацией в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения (далее - операционная устойчивость), в результате воздействия источников операционного риска, указанных в пункте 3.3 настоящего Положения, а также изменений процессов кредитной организации (головной кредитной организации банковской группы) или действий третьих лиц, включая нарушения операционной надежности, требования к которой установлены Банком России в соответствии со статьей 57.5 Федерального закона N 86-ФЗ (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2021, N 1, ст. 53) (далее соответственно - операционная надежность, риск нарушения непрерывности деятельности).

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

В случае если в кредитной организации (головной кредитной организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

1.5. Кредитная организация (головная кредитная организация банковской группы) утверждает процедуры управления операционным риском в соответствии с пунктом 2.4 Указания Банка России N 3624-У. Единоличный и коллегиальный исполнительные органы кредитной организации (головной кредитной организации банковской группы) обеспечивают их исполнение в соответствии с требованиями главы 2 настоящего Положения. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований настоящего Положения.

 

Глава 2. Процедуры управления операционным риском

 

2.1. Кредитная организация (головная кредитная организация банковской группы) с учетом положений пункта 4.1 приложения 1 к Указанию Банка России N 3624-У и главы 9 настоящего Положения устанавливает во внутренних документах следующие процедуры управления операционным риском.

2.1.1. Идентификация операционного риска, включающая следующие способы:

анализ базы событий;

проведение подразделениями кредитной организации (головной кредитной организации банковской группы) ежегодной самооценки уровня операционного риска и форм (способов) контроля, направленных на снижение его уровня, на основе формализованных анкет (далее - самооценка операционного риска) в соответствии с требованиями абзацев шестого, восьмого - тринадцатого подпункта 2.1.5 настоящего пункта;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска) (далее - КИР), по направлениям деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы) в соответствии с абзацами девятым - двадцатым подпункта 2.1.7 настоящего пункта;

интервью с работниками кредитной организации (головной кредитной организации банковской группы), в том числе с руководством кредитной организации (головной кредитной организации банковской группы), в рамках которых работниками и руководством кредитной организации (головной кредитной организации банковской группы) обсуждаются операционные риски, оказывающие влияние на деятельность кредитной организации (головной кредитной организации банковской группы);

анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации операционного риска;

анализ информации уполномоченного подразделения и внешнего аудита;

анализ информации работников кредитной организации (головной кредитной организации банковской группы), полученной в рамках инициативного информирования работниками кредитной организации (головной кредитной организации банковской группы) службы управления рисками и (или) службы внутреннего аудита;

анализ других внешних и внутренних источников информации и способов выявления рисков.

Кредитная организация (головная кредитная организация банковской группы) использует результаты процедуры идентификации операционного риска для проведения процедур количественной и качественной оценки уровня операционного риска и корректного учета связи идентифицированного операционного риска с событиями операционного риска в базе событий.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 настоящего Положения.

2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:

автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;

неавтоматизированное выявление и сбор информации о событиях операционного риска, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий операционного риска, в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны. Порядок и срок проведения анализа обстоятельств и причин произошедших событий операционного риска определяется кредитной организацией (головной кредитной организации банковской группы) во внутренних документах;

ввод информации о событиях операционного риска в базу событий по алгоритмизированным правилам, установленным кредитной организацией (головной кредитной организации банковской группы) во внутренних документах;

классификацию выявленных событий операционного риска в соответствии с главой 3 настоящего Положения;

определение потерь от реализации событий операционного риска в соответствии с подпунктом 2.1.3 настоящего пункта;

регистрацию событий операционного риска в базе событий;

определение стоимости возмещений потерь от реализации событий операционного риска в базе событий;

обновление в соответствии с главой 6 настоящего Положения информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации;

актуализацию источников информации о событиях операционного риска и сведений о центрах компетенций, ответственных за их сбор.

Кредитная организация (головная кредитная организация банковской группы) обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:

центров компетенций;

правил предоставления информации об идентифицированных событиях операционного риска центрами компетенций в подразделение, ответственное за организацию управления операционным риском, не позднее пяти рабочих дней с момента идентификации события операционного риска, за исключением событий операционного риска, загружаемых в базу событий программно-аппаратными средствами на определенную кредитной организацией (головной кредитной организацией банковской группы) отчетную дату в соответствии с порядком, указанным кредитной организаций (головной кредитной организацией банковской группы) во внутренних документах, но не реже одного раза в месяц (предоставление информации об идентифицированных событиях операционного риска дочерней кредитной организацией в головную кредитную организацию банковской группы осуществляется в соответствии с пунктом 6.3 настоящего Положения);

контрольных показателей уровня операционного риска, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению в разрезе центров компетенций (ключевых показателей эффективности по выявлению событий операционного риска в процессах), ответственность за несоблюдение которых возложена на центры компетенций (их руководителей).

2.1.3. Определение потерь и возмещений потерь от реализации событий операционного риска, включающее следующие способы:

учет потерь кредитной организации (головной кредитной организации банковской группы), указанных в пункте 3.11 настоящего Положения, включая установление сроков выявления и правил отражения в бухгалтерском учете, с учетом пунктов 6.7 - 6.19 настоящего Положения;

порядок и методы определения потерь кредитной организации (головной кредитной организации банковской группы), указанных в пункте 3.13 настоящего Положения, от события операционного риска;

порядок выявления расходов, относящихся к операционному риску, из общих расходов кредитной организации (головной кредитной организации банковской группы) (для определения потерь, указанных в пункте 3.12 настоящего Положения), в том числе порядок выявления и сверки событий операционного риска с данными бухгалтерского учета;

порядок и методы оценки недополученных доходов, связанных с событиями операционного риска (для определения потерь, указанных в пункте 3.13 настоящего Положения);

порядок и методы определения потенциальных потерь, указанных в подпункте 3.13.3 пункта 3.13 настоящего Положения;

порядок и методы определения стоимости возмещений от событий операционного риска;

отбор и назначение экспертов кредитной организации (головной кредитной организации банковской группы), ответственных за расчет потерь от реализации событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, областей их компетенции и ответственности. Допускается совмещение функции регистрации событий операционного риска в базе событий и функции расчета потерь и возмещений от реализации событий операционного риска.

2.1.4. Количественная оценка уровня операционного риска, включающая следующие способы:

агрегированную оценку уровня операционного риска по кредитной организации (головной кредитной организации банковской группы) в целом, по подразделениям кредитной организации (головной кредитной организации банковской группы), а также по типам событий операционного риска в соответствии с пунктом 3.6 настоящего Положения, направлениям деятельности, в том числе в разрезе составляющих их процессов, в соответствии с пунктом 3.9 настоящего Положения и видам операционного риска в соответствии с пунктом 1.4 настоящего Положения. Кредитная организация (головная кредитная организация банковской группы) применяет агрегированную оценку уровня операционного риска в случае, если кредитная организация (головная кредитная организация банковской группы) использует методы количественной оценки потерь от реализации операционного риска на основе статистических данных из базы событий с использованием продвинутого подхода, включающего методы, указанные в пункте 4.4 приложения 1 к Указанию Банка России N 3624-У (далее - продвинутый подход);

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

оценку объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) в рамках внутренних процедур оценки достаточности капитала (далее - ВПОДК), на покрытие потерь от реализации событий операционного риска в целом по кредитной организации (головной кредитной организации банковской группы) в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, риска информационной безопасности и других видов операционного риска, с учетом подходов к расчету объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) на покрытие потерь от реализации операционного риска, изложенных в приложении 2 к настоящему Положению;

оценку ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с использованием статистических данных по событиям операционного риска, зарегистрированным в базе событий в этих разрезах (при наличии), в целях определения способов покрытия указанных ожидаемых потерь, в том числе их учета в ценообразовании услуг и тарифов. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах способы проведения процедуры количественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.

2.1.5. Качественная оценка уровня операционного риска, проводимая в отношении выявленных операционных рисков в дополнение к количественной оценке и включающая следующие способы:

самооценку операционного риска в соответствии с абзацами шестым, восьмым - тринадцатым настоящего подпункта;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

профессиональную оценку выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами с учетом установленных кредитной организацией (головной кредитной организации банковской группы) во внутренних документах правил привлечения внешних экспертов;

сценарный анализ операционных рисков, в том числе моделирование угроз, включающее анализ потенциальных источников реализации операционного риска и возможных потерь от них (далее - моделирование угроз), с учетом осуществляемых кредитной организацией процессов и форм (способов) контроля операционного риска.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методы проведения процедуры качественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.

Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него перечня критически важных процессов, определенных кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, и перечня процессов, уровень существенности операционного риска у которых по результатам качественных оценок, предшествующих дате проведения качественной оценки уровня операционного риска, был высоким или очень высоким в соответствии с абзацем одиннадцатым настоящего подпункта или не оценивался в течение двух лет, предшествующих дате проведения качественной оценки уровня операционного риска, в отношении которых осуществляется качественная оценка уровня операционного риска, с указанием ответственных и участвующих подразделений кредитной организации (головной кредитной организации банковской группы) (далее - план проведения качественной оценки). Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) утверждает план проведения качественной оценки.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Подразделения кредитной организации (головной кредитной организации банковской группы) осуществляют оценку уровня операционного риска в соответствии с планом проведения качественной оценки.

Самооценка операционного риска проводится подразделениями кредитной организации (головной кредитной организации банковской группы) в отношении выполняемых ими процессов в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы) не реже одного раза в год по установленной во внутренних документах методике (в виде анкетирования выделенных для самооценки операционного риска работников подразделений кредитной организации (головной кредитной организации банковской группы) по направлениям деятельности, в том числе в разрезе составляющих их процессов, которые включены в план проведения качественной оценки, с использованием формализованных анкет).

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Самооценка операционного риска проводится кредитной организацией (головной кредитной организацией банковской группы) в отношении всех видов операционного риска в соответствии с планом проведения качественной оценки.

Кредитная организация (головная кредитной организации банковской группы) определяет критерии самооценки операционного риска, которые должны включать:

критерии оценки уровня существенности операционного риска (с соотнесением к четырехуровневой шкале: "очень высокий", "высокий", "средний", "низкий"), включая критерии оценки потерь и количественной и качественной оценки вероятности реализации операционного риска в условиях текущего процесса;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

критерии оценки эффективности форм (способов) контроля (с учетом уровня регламентации и автоматизации мер уменьшения негативного влияния оцениваемого операционного риска), как действующих на момент проведения оценки, так и рассматриваемых кредитной организацией (головной кредитной организацией банковской группы) к внедрению;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

критерии оценки уровня возможных потерь при реализации операционного риска с учетом оценки эффективности форм (способов) контроля (далее - уровень остаточного риска).

Кредитная организация (головная кредитная организация банковской группы) разрабатывает требования к проведению профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами с указанием сроков, правил и порядка ее проведения.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методы проведения профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) на основе требований к ее проведению.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методику сценарного анализа операционных рисков и порядок его проведения.

Кредитная организация (головная кредитная организация банковской группы) определяет в порядке проведения сценарного анализа операционных рисков критерии проведения сценарного анализа операционных рисков в отношении выявленных операционных рисков в ходе качественной оценки уровня операционного риска, проводимой в соответствии с планом проведения качественной оценки, а также в отношении источников операционного риска, которые не реализовались в деятельности кредитной организации (головной кредитной организации банковской группы), по которым уровень существенности операционного риска оценивается как высокий или очень высокий в соответствии с абзацем одиннадцатым настоящего подпункта.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) проводит оценку негативного влияния выявленных сценариев реализации операционных рисков и источников операционного риска на свою деятельность в разрезе направлений деятельности и составляющих их процессов с учетом задействованных при их выполнении других процессов и (или) информационных систем, а также с учетом участия третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) в выполнении процессов кредитной организации (головной кредитной организации банковской группы) (далее - зависимость процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) в целях проведения качественной оценки видов операционного риска разрабатывает во внутренних документах методику моделирования угроз реализации вида операционного риска и порядок проведения моделирования угроз, в том числе порядок оценки негативного влияния угроз по шкале качественных оценок, разработанной в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения.

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

2.1.6. Выбор и применение способа реагирования на операционный риск по результатам мероприятий, утвержденных в соответствии с абзацем шестым подпункта 2.1.5 настоящего пункта, в срок не более трех месяцев со дня проведения оценки уровня операционного риска, включая следующие способы реагирования:

уклонение от риска, предусматривающее отказ кредитной организации (головной кредитной организации банковской группы) от оказания соответствующего вида услуг и операций в связи с высоким уровнем операционного риска в них;

передачу риска, предусматривающую страхование, передачу риска другой стороне - контрагенту и (или) клиенту;

принятие риска, предусматривающее готовность кредитной организации (головной кредитной организации банковской группы) принять возможные потери в рамках установленного лимита потерь с процедурой контроля соблюдения лимита;

принятие мер, направленных на уменьшение негативного влияния операционного риска на качество процессов, величины потерь от реализации операционного риска до учета возмещения (далее - валовые потери), включая разработку кредитной организацией (головной кредитной организации банковской группы) форм (способов) контроля, которые включают:

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

изменения, вносимые в процессы;

установление дополнительных форм (способов) контроля;

обучение работников, в том числе участников процессов;

применение автоматизированных решений;

другие меры, направленные на уменьшение негативного влияния операционного риска.

Рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска, приведен в приложении 3 к настоящему Положению.

Кредитная организация (головная кредитная организация банковской группы) выбирает и применяет способы реагирования на операционный риск в зависимости от оценки уровня операционного риска, в том числе уровня потерь от реализации операционного риска и событий операционного риска.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок проведения процедуры выбора и применения способа реагирования на операционный риск, в том числе методы оценки стоимости выбранного способа реагирования.

Кредитная организация (головная кредитная организация банковской группы) разрабатывает меры, направленные на уменьшение негативного влияния операционного риска, с учетом оценки их эффективности и уровня остаточного риска (по результатам реализации мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска).

2.1.7. Мониторинг операционного риска, включающий следующие способы:

установление и мониторинг КИР;

анализ статистики событий операционного риска, в том числе причин возникновения событий операционного риска и потерь от их реализации;

контроль выполнения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, определенных в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения;

контроль выполнения мер, направленных на уменьшение негативного влияния операционного риска, определенных в соответствии с абзацами пятым - десятым подпункта 2.1.6 настоящего пункта;

контроль соблюдения выбранных способов реагирования на операционные риски;

мониторинг потоков информации в рамках реализации операционного риска, поступающей от подразделений кредитной организации (головной кредитной организации банковской группы) и центров компетенций, единоличного и коллегиального органов управления кредитной организации (головной кредитной организации банковской группы), из других источников информации.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах процедуру мониторинга операционного риска.

Кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска.

Кредитная организация (головная кредитная организация банковской группы) во внутренних документах устанавливает требования к КИР и к их документированию, включающие:

количественное измерение КИР;

способы расчета КИР, в том числе с использованием средств автоматизации;

периодичность (не реже одного раза в год) проведения оценки в целях пересмотра КИР для обеспечения поддержания КИР в актуальном состоянии;

регулярность и своевременность расчета КИР с указанием сроков (периода) расчета КИР (например, в постоянном режиме, один раз в неделю, по состоянию на момент закрытия операционного дня);

процедуры валидации значений и данных КИР для проверки корректности расчета;

состав информации, используемой для расчета КИР, и ее источников, включая способ получения информации;

пороговые значения КИР с обоснованием их установления;

наименования и элементы классификации операционных рисков, которые отслеживают КИР;

подразделение кредитной организации (головной кредитной организации банковской группы), ответственное за предоставление данных для расчета КИР и (или) расчет КИР;

порядок реагирования на превышение пороговых значений КИР.

Для кредитных организаций (головных кредитных организаций банковской группы), являющихся в соответствии со статьей 3 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423) (далее - Федеральный закон N 161-ФЗ) операторами платежной системы или операторами услуг платежной инфраструктуры, требования к КИР должны быть установлены с учетом требований к определению показателей бесперебойности функционирования платежной системы, установленных в приложении 1 к Положению Банка России N 607-П, которые должны рассматриваться в качестве КИР.

Кредитная организация (головная кредитная организация банковской группы) направляет результаты процедуры мониторинга операционного риска на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) или другим органам кредитной организации (головной кредитной организации банковской группы), перечень которых определяется во внутренних документах кредитной организации (головной кредитной организации банковской группы), в составе ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым и третьим подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.

2.2. Кредитная организация (головная кредитная организация банковской группы) предусматривает во внутренних документах, регламентирующих процедуры управления операционным риском, функции и обязанность подразделений кредитной организации (головной кредитной организации банковской группы), участвующих на различных этапах процессов (далее - подразделение - участник процессов), а также подразделений, ответственных за осуществление операций и сделок и за результаты процесса, участвовать в выявлении операционного риска и сборе информации о событиях операционного риска и потерях от его реализации, в качественной оценке операционного риска.

2.3. Кредитная организация (головная кредитная организация банковской группы) включает информацию о результатах проведения процедур управления операционным риском, установленных пунктом 2.1 настоящего Положения, в состав ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.

2.4. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах, регламентирующих процедуры управления операционным риском, способы их проведения, перечисленные в настоящей главе, с учетом требований, указанных в главе 9 настоящего Положения.

2.5. Оценка эффективности выполнения процедур управления операционным риском кредитной организации (головной кредитной организации банковской группы) производится уполномоченным подразделением с учетом требований подпункта 4.1.4 пункта 4.1, пунктов 4.4, 4.6, 6.12, 6.17, 6.19, 7.11, 8.4, подпункта 8.8.8 пункта 8.8 и главы 9 настоящего Положения и приложения 1 к настоящему Положению. Отчет о результатах оценки эффективности выполнения процедур управления операционным риском (в том числе на предмет их полноты и корректности) предоставляется уполномоченным подразделением на рассмотрение совету директоров (наблюдательному совету) и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) в срок, установленный во внутренних документах кредитной организации (головной кредитной организации банковской группы).

 

Глава 3. Классификатор событий операционного риска

 

3.1. Кредитная организация (головная кредитная организация банковской группы) классифицирует все события операционного риска в разрезе следующих элементов: источников операционного риска, типов событий операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов, и видов потерь от реализации операционного риска.

3.2. Кредитная организация (головная кредитная организация банковской группы) для всех видов операционного риска определяет во внутренних документах единый классификатор событий операционного риска в разрезе элементов, перечисленных в пункте 3.1 настоящего Положения. Единый классификатор событий операционного риска должен обновляться кредитной организацией (головной кредитной организации банковской группы) с учетом изменений осуществляемых операций и (или) действующих процессов кредитной организации (головной кредитной организации банковской группы).

3.3. Источники операционного риска классифицируются кредитной организацией (головной кредитной организацией банковской группы) на следующие категории.

3.3.1. К первой категории относятся недостатки процессов, в том числе ненадежная и (или) неэффективная организация внутренних процессов управления в кредитной организации и совершения банковских и других операций, а также несоответствие указанных процессов деятельности кредитной организации и (или) требованиям законодательства Российской Федерации (далее - недостатки процессов);

3.3.2. Ко второй категории относятся недостатки, связанные с действиями персонала кредитной организации (непреднамеренные ошибки, умышленные действия или бездействие) и других связанных с кредитной организацией лиц, включая собственников, а также лиц, связанных с кредитной организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица кредитной организации в соответствии со статьей 64.1 Федерального закона N 86-ФЗ (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2780; 2013, N 27, ст. 3438; 2017, N 18, ст. 2669) (далее - действия персонала и других связанных с кредитной организацией лиц);

3.3.3. К третьей категории относятся отказы и (или) нарушения функционирования применяемых кредитной организацией информационных, технологических и других систем, оборудования и (или) несоответствие их функциональных возможностей и характеристик потребностям кредитной организации (далее - сбои систем и оборудования);

3.3.4. К четвертой категории относится воздействие внешних причин, включая действия третьих лиц, в том числе действия суда и исполнительных органов государственной власти, Банка России, других организаций, а также другие воздействия внешнего характера (далее - внешние причины).

3.4. Кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет последующие уровни классификации источников событий операционного риска.

3.5. У одного и того же события операционного риска может быть один источник или несколько источников операционного риска. В случае если кредитной организацией (головной кредитной организацией банковской группы) определено более одного источника операционного риска, в отношении реализовавшегося события операционного риска в базе событий кредитная организация (головная кредитная организация банковской группы) указывает все выявленные источники события операционного риска и определяет наиболее значимый источник операционного риска.

3.6. Классификация типов событий операционного риска осуществляется кредитной организацией (головной кредитной организацией банковской группы) следующим образом:

3.6.1. совершение работниками кредитной организации и другими связанными с кредитной организацией лицами, включая собственников, а также физическими лицами, связанными с кредитной организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица кредитной организации, преднамеренных действий или преднамеренное бездействие указанных лиц, направленные на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу кредитной организации и (или) средствам клиентов, нарушение процессов, препятствующие достижению целей кредитной организации, в том числе умышленное несоблюдение нормативных актов или внутренних документов кредитной организации в целях извлечения материальной и нематериальной выгоды (далее - преднамеренные действия персонала);

3.6.2. совершение третьими лицами преднамеренных действий, направленных на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу кредитной организации и (или) средствам клиентов (за исключением вандализма), нарушение процессов и ухудшение работы систем, препятствующих достижению стратегии развития кредитной организации или нарушающих законодательство Российской Федерации, в том числе приобретение прав на имущество кредитной организации обманным путем (далее - преднамеренные действия третьих лиц);

3.6.3. нарушение со стороны кредитной организации трудового законодательства, кадровой политики, условий труда и безопасности, требований по охране труда или охране здоровья, связанных с выплатами работникам кредитной организации по исковым требованиям (в том числе по искам о возмещении морального и материального вреда или искам в связи с дискриминацией), а также вследствие прекращения трудовых отношений (далее - нарушение кадровой политики и безопасности труда);

3.6.4. нарушение со стороны кредитной организации прав клиентов и контрагентов, включая нанесение им ущерба, при оказании им услуг и совершении операций, включая нарушение условий договоров и сохранности конфиденциальной информации, ставшей доступной кредитной организации в процессе взаимодействия с клиентами и контрагентами по операциям и сделкам при оказании услуг, предоставлении банковских услуг с условием приобретения клиентом сопутствующих услуг кредитной организации или третьих лиц и нарушение законодательства в сфере защиты прав потребителей, а также антимонопольного законодательства (далее - нарушение прав клиентов и контрагентов);

3.6.5. ущерб материальным активам кредитной организации вследствие снижения стоимости имущества, потери свойств материальных активов кредитной организации в результате стихийных бедствий, техногенных катастроф, эпидемий, беспорядков, вандализма и военных действий (далее - ущерб материальным активам);

3.6.6. нарушение и сбои систем и оборудования, обеспечивающих функционирование деятельности кредитной организации (далее - нарушение и сбои систем и оборудования);

3.6.7. нарушение организации, исполнения и управления процессами кредитной организации, включая ошибки при обработке операций, недостатки обеспечения функционирования процессов, недостатки систем управления рисками, внутреннего контроля, учета и отчетности, системы обеспечения информационной безопасности, недостатки внутренних процедур противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, недостатки в процессах взаимоотношений с торговыми контрагентами и поставщиками, за исключением действий, перечисленных в подпункте 3.6.1 настоящего пункта (далее - нарушение организации, исполнения и управления процессами).

3.7. Для отдельных видов операционного риска в целях классификации событий операционного риска в базе событий кредитной организацией (головной кредитной организацией банковской группы) применяются дополнительные типы событий операционного риска в разрезе классификации типов событий в соответствии с пунктом 3.6 настоящего Положения.

3.8. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах детализированную классификацию типов событий операционного риска в соответствии с приложением 4 к настоящему Положению, а также вправе определить более детализированную классификацию типов событий операционного риска с учетом осуществляемых операций и (или) действующих процессов кредитной организации (головной кредитной организации банковской группы).

3.9. События операционного риска классифицируются кредитной организацией (головной кредитной организации банковской группы) по основным направлениям деятельности первого уровня следующим образом:

3.9.1. оказание услуг юридическим лицам, органам государственной власти и местного самоуправления по организации доступа к рынкам капитала, оптимизации структуры активов и повышению качества корпоративного управления, слияниям и поглощениям, оказанию консультационных услуг финансового посредничества, в том числе при организации синдицированного кредитования (корпоративное финансирование);

3.9.2. осуществление операций и сделок с финансовыми инструментами торгового портфеля (операции и сделки на финансовом рынке);

3.9.3. оказание банковских услуг розничным клиентам, кроме брокерских и депозитарных услуг (розничное банковское обслуживание);

3.9.4. оказание юридическим лицам банковских услуг, за исключением основного направления деятельности первого уровня, указанного в подпункте 3.9.1 настоящего пункта (коммерческое банковское обслуживание корпоративных клиентов);

3.9.5. осуществление переводов денежных средств, платежей и расчетов через платежные системы, в том числе платежную систему Банка России, в которых кредитная организация выступает как оператор по переводу денежных средств, в том числе платежей по собственным операциям, за исключением внутрибанковских операций по организации услуг по проведению платежей, расчетов и взаимодействия с клиентом в рамках предоставления банковских услуг, относящихся к основным направлениям деятельности первого уровня, указанным в подпунктах 3.9.3, 3.9.4, 3.9.6 - 3.9.8 настоящего пункта (осуществление переводов денежных средств, платежей и расчетов через платежные системы);

3.9.6. оказание агентских и депозитарных услуг, в том числе услуг по хранению сертификатов ценных бумаг и (или) их учету, обеспечению сохранности активов и документов клиентов (агентские и депозитарные услуги);

3.9.7. управление активами клиентов по договорам доверительного управления (управление активами);

3.9.8. брокерское обслуживание розничных клиентов (розничное брокерское обслуживание);

3.9.9. обеспечивающие и организационные направления деятельности, например, бухгалтерский учет, административно-хозяйственная деятельность, управление рисками, деятельность по обеспечению функционирования информационных систем, обеспечение физической безопасности, противопожарной безопасности и охраны труда, юридическое сопровождение, управление персоналом, корпоративное управление и управление капиталом кредитной организации (головной кредитной организацией банковской группы) (обеспечение деятельности кредитной организации).

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

3.10. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах классификацию направлений деятельности, в том числе в разрезе составляющих их процессов, до второго уровня и далее с учетом осуществляемых операций и (или) действующих процессов кредитной организации (головной кредитной организации банковской группы).

В случае если кредитной организацией (головной кредитной организацией банковской группы) определено более одного направления деятельности первого уровня в отношении реализовавшегося события операционного риска, кредитная организация (головная кредитная организация банковской группы) указывает в базе событий все направления деятельности первого уровня, в которых реализовалось событие операционного риска, и определяет наиболее значимое направление деятельности первого уровня.

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

3.11. Виды потерь от реализации событий операционного риска подразделяются кредитной организацией (головной кредитной организацией банковской группы) на прямые и непрямые потери.

3.12. Прямые потери, отраженные на счетах по учету расходов, убытков в бухгалтерском учете в соответствии с Положением Банка России от 22 декабря 2014 года N 446-П "О порядке определения доходов, расходов и прочего совокупного дохода кредитных организаций", зарегистрированным Министерством юстиции Российской Федерации 6 февраля 2015 года N 35910, 8 декабря 2015 года N 40025,12 декабря 2017 года N 49219, 31 июля 2018 года N 51743, и приравненных к ним счетах по учету дебиторской задолженности, классифицируются кредитной организацией (головной кредитной организацией банковской группы) по следующим видам.

3.12.1. Снижение (обесценение) стоимости активов. Данный вид потерь включает в себя следующие виды потерь второго уровня:

потеря активов, за исключением наличных денежных средств, в результате хищения;

потеря наличных денежных средств в результате хищения или физического уничтожения;

обесценение стоимости кредита в результате начисления дополнительных резервов в соответствии с Положением Банка России от 28 июня 2017 года N 590-П "О порядке формирования кредитными организациями резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности", зарегистрированным Министерством юстиции Российской Федерации 12 июля 2017 года N 47384,3 октября 2018 года N 52308,19 декабря 2018 года N 53053, 23 января 2019 года N 53505, 12 сентября 2019 года N 55910, 27 ноября 2019 года N 56646 (далее - Положение Банка России N 590-П), Положением Банка России от 23 октября 2017 года N 611-П "О порядке формирования кредитными организациями резервов на возможные потери", зарегистрированным Министерством юстиции Российской Федерации 15 марта 2018 года N 50381,19 декабря 2018 года N 53054,12 сентября 2019 года N 55911 (далее - Положение Банка России N 611-П), и Указанием Банка России от 22 июня 2005 года N 1584-У "О формировании и размере резерва на возможные потери под операции кредитных организаций с резидентами офшорных зон", зарегистрированным Министерством юстиции Российской Федерации 15 июня 2005 года N 6799 (далее - Указание Банка России N 1584-У), в случае увеличения кредитного риска из-за реализации события операционного риска;

расходы на создание резервов по счетам бухгалтерского учета для покрытия потерь от реализации события операционного риска с учетом видов резервов, за исключением резервов, приведенных в абзаце пятом подпункта 3.12.6 настоящего пункта;

потери, отраженные на счетах бухгалтерского учета, не связанных с балансовыми счетами расходов;

потери, отраженные на счетах бухгалтерского учета, отнесенных к счетам расходов;

расходы, связанные с мероприятиями по возврату кредитных средств и других финансовых активов, возникшими по причине операционного риска;

отрицательная переоценка стоимости торгового портфеля и (или) финансового инструмента в части, обусловленной нарушением правил совершения сделок и операций с инструментами торгового портфеля, правил совершения операций, определенных во внутренних документах кредитной организации (например, нарушение лимита сделки);

начисление амортизационных расходов по причине операционного риска (например, при списании с баланса оборудования, испорченного в результате события операционного риска).

3.12.2. Досрочное списание (выбытие, потеря, уничтожение) материальных и нематериальных, финансовых активов в результате реализации события операционного риска.

3.12.3. Денежные выплаты клиентам, контрагентам, работникам кредитной организации и другим третьим лицам в целях компенсации им во внесудебном порядке убытков, понесенных ими как в результате действий третьих лиц, так и в результате реализации иных источников операционного риска, в том числе компенсированные кредитной организацией хищения средств клиентов, контрагентов, работников и третьих лиц (с раздельным учетом потерь, которые были компенсированы кредитной организацией, и потерь, которые впоследствии были компенсированы третьими лицами, в том числе страховыми организациями, иностранными страховыми организациями).

Кредитная организация (головная кредитная организация банковской группы) классифицирует вид прямых потерь, указанный в абзаце первом настоящего подпункта, в разрезе работников, а также клиентов, контрагентов и третьих лиц по следующим группам: физические лица, индивидуальные предприниматели, лица, занимающиеся частной практикой, юридические лица.

(пп. 3.12.3 в ред. Указания Банка России от 25.03.2022 N 6103-У)

3.12.4. Денежные выплаты работникам кредитной организации в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине кредитной организации.

3.12.5. Потери от ошибочных платежей, включающие:

потери в размере ошибочного платежа;

потери в виде уплаченных комиссий по проведению ошибочного платежа;

потери, связанные с поиском возможности возврата ошибочного платежа.

3.12.6. Расходы (выплаты), связанные с решениями суда и (или) представительством кредитной организации в судах по делам, связанным с потерями от реализации событий операционного риска, включающие:

расходы на работников кредитной организации, представляющих интересы кредитной организации в суде по делам, связанным с реализацией событий операционного риска, не включая расходы на фонд оплаты труда;

выплаты и компенсации по решению суда по делам, связанным с реализацией событий операционного риска;

расходы на адвокатов и судебных представителей по делам (в случае отказа суда от удовлетворения иска в целом или в части) в величине потерь от реализации событий операционного риска;

начисление резервов по прочим потерям и резервов - оценочных обязательств некредитного характера в соответствии с пунктом 6.1 Положения Банка России N 611-П по предъявленным претензиям и судебным искам.

3.12.7. Штрафы, наложенные исполнительными органами государственной власти и (или) Банком России.

3.12.8. Расходы на устранение последствий реализации события операционного риска, направленные на восстановление деятельности и (или) снижение потерь от реализовавшегося события операционного риска.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

3.12.9. Отрицательный финансовый результат от невыгодных для кредитной организации сделок, совершенных по причине операционного риска, в том числе переоценка стоимости активов в сторону уменьшения и (или) исключения из расчета величины собственных средств (капитала) по предписанию Банка России.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

3.12.10. Прочие потери, связанные с реализацией события операционного риска или устранением последствий события операционного риска.

3.13. Непрямые потери кредитной организации (головной кредитной организации банковской группы с учетом влияния событий операционного риска участников банковской группы), не отраженные в бухгалтерском учете, но косвенно связанные с событиями операционного риска, классифицируются кредитной организацией (головной кредитной организации банковской группы) на потери, определяемые расчетным методом в денежном выражении (далее - косвенные потери), потери, определяемые с использованием экспертного мнения (далее - качественные потери) в случае, если потери не выражены в денежном выражении расчетным способом, а также потери кредитной организации, не реализовавшиеся в виде прямых и косвенных потерь, которые могли бы возникнуть при реализации не выявленных кредитной организацией источников операционного риска и (или) при неблагоприятном стечении обстоятельств (например, нарушение работником кредитной организации лимита, которое при данном стечении обстоятельств не привело к прямым потерям в результате реализации события операционного риска) (далее - потенциальные потери).

3.13.1. Косвенные потери включают в себя:

недополученные доходы от приостановления или прекращения совершения операций, вызванных событиями операционного риска (например, приостановления или прекращения работы систем, оборудования);

неполученные доходы, связанные с непроведением отдельных сделок и операций по причине реализации событий операционного риска, не связанных с приостановлением и (или) прекращением совершения операций;

повышение стоимости заимствований, например, стоимости привлечения кредитных средств, в результате события операционного риска;

снижение рыночной стоимости акций кредитной организации или инструментов капитала кредитной организации по причине реализации события операционного риска;

потери, связанные с восстановлением ликвидности из-за оттока денежных средств по причине реализации операционного риска;

прочие потери, связанные с устранением последствий или снижением потерь от реализации операционного риска, за исключением потерь, определенных в соответствии с подпунктами 3.12.8 и 3.12.10 пункта 3.12 настоящего Положения.

3.13.2. Качественные потери включают в себя:

возникновение источников других видов риска (например, кредитного риска, рыночного риска, риска ликвидности, риска потери деловой репутации, регуляторного риска, стратегического риска);

нарушение операционной устойчивости кредитной организации (головной кредитной организации банковской группы) в случае, если кредитная организация (головная кредитная организация банковской группы) не определила его в денежном выражении, и (или) приостановку основных и прочих процессов, определяемых кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, в результате события операционного риска, в том числе возникшего в результате сбоев систем и оборудования;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

отток клиентов;

неисполнение обязательств по сделке и (или) неоказание услуги;

ограничения, приводящие к выполнению невыгодных для кредитной организации действий, накладываемые со стороны суда, исполнительных органов государственной власти, Банка России;

снижение качества предоставления услуг, выполнения операций (например, нарушение регламентированных сроков выполнения процессов и операций, установленных во внутренних документах кредитной организации);

утечку, потерю или искажение защищаемой, в том числе коммерческой, информации;

судебные акты (решения, определения, постановления), акты исполнительных органов государственной власти, Банка России, не связанные с уплатой штрафов;

снижение лимитов на межбанковское кредитование;

другие качественные потери.

Кредитная организация (головная кредитная организация банковской группы) в отношении каждой качественной потери проводит оценку ее значимости в соответствии с установленной во внутренних документах кредитной организации (головной кредитной организации банковской группы) шкалой качественных оценок потерь по четырехуровневой шкале: "очень высокие", "высокие", "средние", "низкие".

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах критерии шкалы качественных оценок и методику определения оценок для качественных потерь от реализации события операционного риска, включая критерии соотнесения шкалы качественных оценок с количественными потерями.

3.13.3. Потенциальные потери включают в себя:

потери (в том числе хищение) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией, с учетом положений абзаца восьмого пункта 6.5 настоящего Положения, включая потери средств физических лиц, в том числе индивидуальных предпринимателей, юридических лиц, штрафы, наложенные на должностных лиц кредитной организации;

другие потенциальные потери.

Кредитная организация (головная кредитная организация банковской группы) классифицирует потери, указанные в абзаце втором настоящего подпункта, в разрезе клиентов и контрагентов по следующим группам: физические лица, индивидуальные предприниматели, лица, занимающиеся частной практикой, юридические лица.

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

3.14. В случае если кредитная организация (головная кредитная организация банковской группы) использует дополнительную классификацию видов потерь, кредитная организация (головная кредитная организация банковской группы) устанавливает их во внутренних документах, включая порядок их определения и актуализации.

3.15. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах методы и порядок определения прямых и непрямых потерь, порядок отнесения расходов кредитной организации (головной кредитной организацией банковской группы) по событиям операционного риска.

 

Глава 4. Дополнительные элементы системы управления операционным риском

 

4.1. Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) в дополнение к элементам, предусмотренным в пункте 1.3 настоящего Положения, включает следующие элементы.

4.1.1. Перечень процессов кредитной организации (головной кредитной организации банковской группы), отнесенных к направлениям деятельности (в разрезе составляющих их процессов), приведенным в пункте 3.9 настоящего Положения, в том числе технологических процессов, требующих обеспечения информационного взаимодействия, обработки и хранения информации с помощью информационных систем (далее - технологические процессы), с указанием уровня их критичности, функций подразделений, ответственных за осуществление операций и сделок и за результаты процесса, и подразделений - участников процессов.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

По уровню критичности процессы кредитной организации (головной кредитной организации банковской группы) подразделяются на критически важные, основные и прочие.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

К критически важным процессам относятся процессы, которые обеспечивают выполнение операций кредитной организации (головной кредитной организации банковской группы), указанных в пунктах 1 - 4 и 9 части первой статьи 5 Федерального закона "О банках и банковской деятельности" (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 2011, N 27, ст. 3873), ведение бухгалтерского учета, представление отчетности в Банк России в соответствии с Указанием Банка России от 8 октября 2018 года N 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 13 декабря 2018 года N 52992, 13 декабря 2019 года N 56796, 18 июня 2020 года N 58705, 30 сентября 2020 года N 60147, 26 марта 2021 года N 62892, 15 апреля 2021 года N 63150, 11 июня 2021 года N 63866, 14 декабря 2021 года N 66316 (далее - Указание Банка России N 4927-У), поддержание ликвидности, выполнение операций на финансовых рынках, кассовых операций, работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций, соблюдение требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159), Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2022, N 9, ст. 1259), Федерального закона "О банках и банковской деятельности" (далее - критически важные операции), а также другие процессы, которые определены кредитной организацией (головной кредитной организацией банковской группы) и прерывание функционирования которых оказывает влияние на выполнение обязательств перед клиентами и контрагентами кредитной организации (головной кредитной организации банковской группы).

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

К основным процессам относятся процессы, которые обеспечивают выполнение операций, указанных в пунктах 5 - 7.3 части первой статьи 5 Федерального закона "О банках и банковской деятельности" (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 2017, N 31, ст. 4761), в случае если они не отнесены кредитной организацией (головной кредитной организацией банковской группы) к критически важным процессам, а также процессы, которые обеспечивают выполнение операций и услуг, объем которых формирует величину расходов и (или) доходов кредитной организации (головной кредитной организации банковской группы) более 5 процентов от дохода за отчетный год для целей расчета капитала на покрытие операционного риска, определяемого в соответствии с пунктом 3 Положения Банка России от 3 сентября 2018 года N 652-П "О порядке расчета размера операционного риска", зарегистрированного Министерством юстиции Российской Федерации 19 ноября 2018 года N 52705, 19 декабря 2018 года N 53050, 31 марта 2020 года N 57915 (далее - Положение Банка России N 652-П) (далее - доход за год для целей расчета капитала на покрытие операционного риска), в случае если кредитная организация применяет для целей расчета размера операционного риска Положение Банка России N 652-П, или более 5 процентов от величины бизнес-индикатора кредитной организации (головной кредитной организации банковской группы) на последнюю дату ее расчета, которая определяется в соответствии с пунктом 2.2 Положения Банка России от 7 декабря 2020 года N 744-П "О порядке расчета размера операционного риска ("Базель III") и осуществления Банком России надзора за его соблюдением", зарегистрированного Министерством юстиции Российской Федерации 29 января 2021 года N 62290 (далее - Положение Банка России N 744-П), в случае если кредитная организация применяет для целей расчета размера операционного риска Положение Банка России N 744-П. Кредитная организация (головная кредитная организация банковской группы) проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра основных процессов с учетом пункта 4.6 настоящего Положения.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

К прочим процессам относятся процессы, не отнесенные кредитной организацией (головной кредитной организацией банковской группы) к критически важным процессам или основным процессам.

4.1.2. Политика управления операционным риском и внутренние документы, описывающие процедуры управления операционным риском, а также процедуры оценки эффективности функционирования системы управления операционным риском.

4.1.3. Внутренние документы, устанавливающие в кредитной организации (головной кредитной организации банковской группы) структуру и организацию системы управления операционным риском, в том числе полномочия и функции руководителей подразделения, ответственного за организацию управления операционным риском, специализированных подразделений, центров компетенций с учетом исключения конфликта интересов.

Дочерние кредитные организации должны согласовывать внутренние документы по структуре и организации системы управления операционным риском, а также внутренние документы, указанные в подпункте 4.1.2 настоящего пункта, с головной кредитной организацией банковской группы.

4.1.4. Порядок оценки уполномоченным подразделением и (или) организацией, осуществляющей внешний аудит, эффективности функционирования системы управления операционным риском, в том числе выполнения принятых в кредитной организации (головной кредитной организации банковской группы) процедур управления операционным риском.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах уполномоченное подразделение, а также правила привлечения для оценки эффективности функционирования системы управления операционным риском внешних экспертов.

4.1.5. Комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включая случаи фактической реализации риска нарушения непрерывности деятельности кредитной организации (головной кредитной организации банковской группы), в том числе случаи фактического нарушения требований к операционной надежности (далее - событие риска нарушения непрерывности деятельности).

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, включают:

реализацию кредитной организацией (головной кредитной организацией банковской группы) способов контроля, например, указанных в пунктах 10, 11, 15, 17, 18, 28 приложения 3 к настоящему Положению, на этапах процессов, в которых выявлены операционные риски;

изменение кредитной организацией (головной кредитной организацией банковской группы) процессов и распределение обязанностей для обеспечения исключения конфликта интересов;

документирование кредитной организацией (головной кредитной организацией банковской группы) результатов выполнения процедур контроля в процессах;

обеспечение кредитной организацией (головной кредитной организацией банковской группы) контроля совершения операций и сделок, включая установление во внутренних документах кредитной организации (головной кредитной организации банковской группы) требований к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), обеспечивающим выполнение критически важных процессов и (или) функционирование информационных систем кредитной организации (головной кредитной организации банковской группы), в части системы управления операционным риском третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе риском нарушения непрерывности деятельности, и реализации контроля за соблюдением данных требований;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

исключение совершения неконтролируемых кредитной организацией (головной кредитной организацией банковской группы) операций и сделок;

другие мероприятия, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) в зависимости от вида и характеристик процесса, в том числе мероприятия, разрабатываемые в целях управления риском нарушения непрерывности деятельности.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включают:

установление кредитной организацией (головной кредитной организацией банковской группы) пороговых значений в отношении полномочий принятия решений и определения лимитов операционного риска, контроля за соблюдением полномочий;

внедрение кредитной организацией (головной кредитной организацией банковской группы) элементов автоматизации участков процессов, при выполнении которых выявлены операционные риски по причине ошибок работников;

разработку кредитной организацией (головной кредитной организацией банковской группы) планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем, включая автоматизированные системы, программные и (или) программно-аппаратные средства, телекоммуникационное оборудование и линии связи, эксплуатация и использование которых обеспечивается кредитной организацией (головной кредитной организацией банковской группы) для осуществления процессов и операций (далее - объекты информационной инфраструктуры), а также планов по обеспечению безопасности и целостности информационных систем и информации, в том числе в соответствии с требованиями главы 8 настоящего Положения, с учетом внешних факторов, влияющих на критически важный процесс и (или) информационную систему и их тестирование в случаях реализации операционного риска, влияющих на непрерывность осуществления критически важных процессов и (или) функционирование информационных систем и предусмотренных сценариями реализации операционного риска, определенными в рамках проведения сценарного анализа в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения, включая систему быстрого реагирования на события операционного риска;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

определение способа и порядка возмещения потерь от реализации событий операционного риска, например, с использованием переноса риска на участников финансового рынка, страхования;

юридическое обеспечение судебных процессов с участием кредитной организации (головной кредитной организации банковской группы);

юридическое сопровождение процессов, договоров и документации кредитной организации (головной кредитной организации банковской группы), в том числе с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

другие мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска.

Кредитная организация (головная кредитная организация банковской группы) в зависимости от осуществляемых операций и (или) действующих процессов определяет во внутренних документах комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска.

Головная кредитная организация банковской группы должна обеспечить выполнение комплекса мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, реализуемого у участников банковской группы.

4.1.6. Способы мотивации работников кредитной организации (головной кредитной организации банковской группы) к совершению следующих действий при участии в управлении операционным риском:

инициативное информирование работниками кредитной организации (головной кредитной организации банковской группы) о возможных операционных рисках и выявленных событиях операционного риска;

участие работников кредитной организации (головной кредитной организации банковской группы) в процедурах управления операционным риском, указанных в главе 2 настоящего Положения;

направление работниками кредитной организации (головной кредитной организации банковской группы) предложений по мероприятиям, направленным на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска;

реализация работниками кредитной организации (головной кредитной организации банковской группы) мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, указанных в подпункте 4.1.5 настоящего пункта;

другие действия работников кредитной организации (головной кредитной организации банковской группы) по участию в управлении операционным риском.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах способы мотивации работников кредитной организации (головной кредитной организации банковской группы) в участии в управлении операционным риском, включающие требование соблюдения контрольных показателей уровня операционного риска, установленных в соответствии с главой 5 настоящего Положения, а также категории работников, на которые распространяются способы мотивации, указанные в настоящем подпункте.

4.1.7. Отчеты по операционному риску и информация о событиях операционного риска, формируемые кредитной организацией (головной кредитной организацией банковской группы) в соответствии с пунктом 4.2 настоящего Положения.

4.2. Подразделение, ответственное за организацию управления операционным риском, формирует отчеты по операционному риску на ежеквартальной и ежегодной основе и обеспечивает ежедневное направление информации о событиях операционного риска или предоставление доступа к такой информации руководителю службы управления рисками.

4.2.1. Подразделение, ответственное за организацию управления операционным риском, ежедневно направляет руководителю службы управления рисками информацию о событиях операционного риска, зарегистрированных в базе событий за отчетную дату, предшествующую дате подготовке информации, об обстоятельствах их возникновения и их влиянии на соблюдение плановых (целевых) показателей уровня операционного риска, установленных в соответствии с пунктом 4.5 настоящего Положения, другую информацию (при наличии).

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок информирования руководителя службы управления рисками и критерии значимости событий операционного риска, включаемых в ежедневное информирование по операционному риску.

В случае если в кредитной организации (головной кредитной организации банковской группы) применяются программно-аппаратные средства, позволяющие обеспечить автоматизированное формирование информации из базы событий и ее направление в электронном виде руководителю службы управления рисками, а также организацию прямого доступа к базе событий (или другому информационному ресурсу) для самостоятельного просмотра (выгрузки) информации работниками службы управления рисками, кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок организации этих действий.

4.2.2. Подразделение, ответственное за организацию управления операционным риском, ежеквартально на определенную кредитной организацией (головной кредитной организацией банковской группы) отчетную дату формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) следующие отчеты:

об управлении операционным риском, содержащий информацию о событиях операционного риска и потерях кредитной организации (головной кредитной организации банковской группы, участников банковской группы) в разрезе элементов классификации событий операционного риска в соответствии с главой 3 настоящего Положения и отдельных видов операционного риска в соответствии с пунктом 1.4 настоящего Положения, содержащий информацию, указанную в подпункте 4.2.4 настоящего пункта, за исключением событий риска информационной безопасности, о результатах проведенных процедур управления операционным риском, в том числе о результатах процедуры количественной и качественной оценки уровня операционного риска, выбранных способах реагирования по результатам проведенной процедуры количественной и качественной оценки уровня операционного риска, результатах мониторинга операционного риска, результатах выполнения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска;

о событиях риска информационной безопасности;

о фактических значениях контрольных показателей уровня операционного риска (включая контрольные показатели риска информационной безопасности в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению).

4.2.3. Подразделение, ответственное за организацию управления операционным риском, ежегодно формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) отчет об управлении операционным риском за год, содержащий сведения о проведенных мероприятиях и работах, которые планируется провести в целях уменьшения негативного влияния риска операционного риска, а также информацию, указанную в абзацах втором - четвертом подпункта 4.2.2 настоящего пункта.

Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах порядок предоставления на рассмотрение совета директоров (наблюдательного совета) отчета об управлении операционным риском за год.

4.2.4. Информация о событиях операционного риска, включая события риска информационной безопасности, включается кредитной организацией (головной кредитной организацией банковской группы) в отчеты, указанные в подпункте 4.2.2 настоящего пункта, в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, типов событий операционного риска и источников операционного риска отдельно по видам операционного риска и содержит в том числе следующие показатели:

общее количество событий операционного риска - количество всех событий операционного риска, которые были зафиксированы в кредитной организации (головной кредитной организации банковской группы) с начала года до отчетной даты и в отчетном периоде;

количество событий операционного риска в разрезе прямых и косвенных потерь с начала года до отчетной даты и в отчетном периоде;

количество событий операционного риска в разрезе потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, с начала года до отчетной даты и в отчетном периоде;

сумма прямых и сумма косвенных потерь от реализации событий операционного риска кредитной организации (головной кредитной организации банковской группы, включая потери от реализации операционного риска участников банковской группы) в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска, указанных в пункте 3.12 и подпункте 3.13.1 пункта 3.13 настоящего Положения, с начала года до отчетной даты и в отчетном периоде;

сумма потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от реализации событий операционного риска кредитной организации (головной кредитной организации банковской группы в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;

сумма прямых и сумма косвенных потерь, отнесенных к потерям, указанным в подпункте 3.12.8 пункта 3.12 и абзаце седьмом подпункта 3.13.1 пункта 3.13 настоящего Положения в части потерь на восстановление деятельности, в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за отчетный период нарастающим итогом;

сумма прямых потерь от регуляторного риска, связанных с реализацией операционного риска и включаемых в состав валовых потерь от реализации событий операционного риска в соответствии с пунктом 6.10 настоящего Положения;

максимальная величина прямых и максимальная величина косвенных потерь от реализации одного события операционного риска с наибольшими потерями из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;

максимальная величина потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от одного события операционного риска с наибольшими потерями из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;

сумма прямых и сумма косвенных потерь от реализации пяти крупнейших (по сумме потерь) событий операционного риска из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;

сумма потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от реализации пяти крупнейших (по сумме потерь) событий операционного риска из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;

сумма возмещений по прямым потерям за счет не связанных с кредитной организацией (головной кредитной организацией банковской группы) лиц, которые были отражены на балансовых счетах кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

сумма возмещений по прямым потерям за счет связанных с кредитной организацией (головной кредитной организацией банковской группы) юридических и физических лиц в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

сумма чистых потерь, определяемых в соответствии с требованиями пункта 6.18 настоящего Положения, которая была отражена на балансовых счетах кредитной организации (головной кредитной организации банковской группы) с начала года до отчетной даты и в отчетном периоде;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

средняя величина прямых и средняя величина косвенных потерь от реализации одного события операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за отчетный период;

среднеквадратичное отклонение (сигма) величины прямых потерь по группам событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за год (включается в отчет в случае, если количество событий операционного риска за отчетный период составляет более 100);

распределение потерь от реализации событий операционного риска по группам (менее 20 тысяч рублей, от 20 тысяч рублей до 100 тысяч рублей, от 100 тысяч рублей до 350 тысяч рублей, от 350 тысяч рублей до 700 тысяч рублей, от 700 тысяч рублей до 1 400 тысяч рублей, более 1 400 тысяч рублей).

4.2.5. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) рассматривает в установленные во внутренних документах кредитной организации (головной кредитной организации банковской группы) сроки (но не позднее двадцати рабочих дней со дня получения на рассмотрение) отчеты по операционным рискам кредитной организации (головной кредитной организации банковской группы) и дает поручения по разработке мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, с указанием ответственных за реализацию мероприятий подразделений и сроков выполнения.

Отчеты по операционным рискам должны храниться кредитной организацией (головной кредитной организацией банковской группы) не менее десяти лет со дня рассмотрения коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).

4.3. Кредитная организация (головная кредитная организация банковской группы) дополнительно устанавливает во внутренних документах следующие требования.

4.3.1. Требования к информационной системе, обеспечивающей управление операционным риском и включающей автоматизацию ведения базы событий и процедур управления операционным риском.

Кредитная организация (головная кредитная организации банковской группы) организует информационный обмен информационной системы, обеспечивающей управление операционным риском, с другими информационными системами кредитной организации (головной кредитной организации банковской группы), позволяющими получать первичную информацию о сбоях систем и оборудования, об ошибках, отклонениях в процессах кредитной организации (головной кредитной организации банковской группы) и о реализации событий операционного риска, в зависимости от осуществляемых операций и (или) действующих процессов.

4.3.2. Требования к управлению модельным риском, включающие соблюдение следующих процедур:

выявление потенциальных ошибок в процессах разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов (далее - модели оценки активов), включая оценку влияния этих ошибок на качество и прогнозную точность моделей оценки активов;

выявление недостоверности и неполноты данных, использованных при разработке и проверке моделей оценки активов, включая в том числе оценку влияния этих ошибок на качество моделей оценки активов, например, приводящих к невозможности определения значения одного или нескольких входных параметров модели оценки активов или существенных факторов, использованных в модели оценки активов;

контроль за разработкой моделей оценки активов, проверка правильности применения методик и технологий моделирования, в том числе правильности постановки задачи на разработку, принимаемых допущений, использования в моделях оценки активов всех существенных факторов, оценки прогнозной точности моделей оценки активов, контроль за соответствием моделей оценки активов условиям внешней среды и внешним и внутренним факторам их применения;

выявление ошибок в процессах регистрации, учета и отчетности о результатах разработки и применения моделей оценки активов;

контроль за полнотой документации о разработке моделей оценки активов и ее применением;

контроль за своевременностью калибровки моделей оценки активов, связанной с изменением внешних и внутренних факторов их применения и поступлением новых данных, свидетельствующих о снижении качества моделей оценки активов и их прогнозной точности;

валидация моделей оценки активов (подразделением кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами);

контроль качества валидации моделей оценки активов, в том числе корректности применения валидационных тестов и критериев, включая контроль за правильностью интерпретации результатов валидации и реагирования на эти результаты;

контроль за внедрением моделей оценки активов в промышленную эксплуатацию, в том числе за имплементацией программного кода в автоматизированные системы кредитной организации (головной кредитной организации банковской группы);

выявление ошибок в интерпретации результатов моделей оценки активов для принятия управленческих решений и бизнес-решений в кредитной организации (головной кредитной организации банковской группы), в том числе связанных с использованием моделей оценки активов в предметных областях, для которых они не разрабатывались и не валидировались.

4.3.3. Требования к перечню процессов кредитной организации (головной кредитной организации банковской группы), указанному в подпункте 4.1.1 пункта 4.1 настоящего Положения.

Кредитная организация (головная кредитная организации банковской группы) при составлении и ведении перечня процессов кредитной организации (головной кредитной организации банковской группы), указанного в подпункте 4.1.1 пункта 4.1 настоящего Положения, обеспечивает:

выявление и учет взаимосвязей между критически важными процессами, работниками подразделений, информационными системами и информацией, задействованными при выполнении критически важных процессов (далее - взаимосвязи между критически важными процессами), с учетом зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

мониторинг изменений выявленных взаимосвязей между критически важными процессами.

(пп. 4.3.3 введен Указанием Банка России от 25.03.2022 N 6103-У)

4.3.4. Требования к управлению операционным риском, возникающим при внесении изменений в критически важные процессы кредитной организации (головной кредитной организации банковской группы) и (или) информационные системы, используемые при выполнении критически важных процессов, включающие соблюдение следующих процедур:

выявление и оценка операционного риска при принятии кредитной организацией (головной кредитной организацией банковской группы) решения об осуществлении функций подразделений кредитной организации (головной кредитной организации банковской группы), банковских операций, услуг, которые кредитная организация (головная кредитная организация банковской группы) не выполняла или не оказывала в течение календарного года, других изменениях, вносимых в критически важные процессы кредитной организации (головной кредитной организации банковской группы), а также оценка влияния выявленного операционного риска на контрольные показатели уровня операционного риска кредитной организации (головной кредитной организации банковской группы), определенные в соответствии с главой 5 настоящего Положения;

оценка влияния изменений, вносимых в процессы, на критически важные процессы кредитной организации (головной кредитной организации банковской группы) с учетом взаимосвязей между критически важными процессами и наличия зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

организация ресурсного обеспечения (кадрового и финансового), необходимого для осуществления функций подразделений кредитной организации (головной кредитной организации банковской группы), банковских операций, услуг, которые кредитная организация (головная кредитная организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы кредитной организации (головной кредитной организации банковской группы), до начала их выполнения или оказания кредитной организацией (головной кредитной организации банковской группы);

утверждение решением органа управления кредитной организации функций подразделений кредитной организации (головной кредитной организации банковской группы), банковских операций, услуг, которые кредитная организация (головная кредитная организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы кредитной организации (головной кредитной организации банковской группы), включая функции, операции, услуги, переданные (или частично переданные) на выполнение третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);

централизованный учет и мониторинг функций подразделений кредитной организации (головной кредитной организации банковской группы), банковских операций, услуг, которые кредитная организация (головная кредитная организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы кредитной организации (головной кредитной организации банковской группы), включая функции, операции, услуги, переданные (или частично переданные) на выполнение третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), в целях последующей оценки их влияния на контрольные показатели уровня операционного риска кредитной организации (головной кредитной организации банковской группы), определенные в соответствии с главой 5 настоящего Положения;

планирование и контроль внедрения функций подразделений кредитной организации (головной кредитной организации банковской группы), банковских операций, услуг, которые кредитная организация (головная кредитная организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы кредитной организации (головной кредитной организации банковской группы).

(пп. 4.3.4 введен Указанием Банка России от 25.03.2022 N 6103-У)

4.4. Уполномоченное подразделение кредитной организации (головной кредитной организации банковской группы) в соответствии с порядком, указанным в подпункте 4.1.4 пункта 4.1 настоящего Положения, ежегодно осуществляет оценку эффективности функционирования системы управления операционным риском, включающую оценку:

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

полноты и точности информации, отраженной в базе событий, а также корректности ведения базы событий;

корректности определения вида и величины потерь от реализации событий операционного риска;

соблюдения установленных кредитной организацией (головной кредитной организацией банковской группы) в политике управления операционным риском и в других внутренних документах требований и процедур управления операционным риском;

корректности проведенных оценок величины потерь от реализации событий операционного риска;

комплекса мероприятий, разрабатываемого в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения;

эффективности мер, направленных на уменьшение негативного влияния операционного риска;

соблюдения других требований настоящего Положения.

4.5. Кредитная организация (головная кредитная организация банковской группы) в целях осуществления контроля за объемом операционного риска, принятым в кредитной организации (головной кредитной организацией банковской группы), в соответствии с пунктом 3.4 Указания Банка России N 3624-У разрабатывает и устанавливает плановые (целевые) показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, которые формируются кредитной организацией (головной кредитной организацией банковской группы) на основе следующих данных, характеризующих объемы операций, подверженных операционному риску за определенный период (день, неделя, месяц, квартал, полугодие, девять месяцев, год):

количество сделок, операций, транзакций;

объем сделок, операций, транзакций в денежном выражении в рублях;

количество платежей, осуществленных через корреспондентский счет кредитной организации (головной кредитной организации банковской группы) и другие корреспондентские счета;

доход за год для целей расчета капитала на покрытие операционного риска;

обороты по счетам бухгалтерского учета;

другие данные.

Кредитная организация (головная кредитная организация банковской группы) соотносит данные, характеризующие объем операций, с зарегистрированными в базе событий потерями и определяет показатели уровня операционного риска, порядок соблюдения которых устанавливается кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах.

4.6. Подразделение, ответственное за организацию управления операционным риском, проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра требований политики управления операционным риском в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов, результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, изменений в стратегии управления рисками и капиталом и направляет результаты анализа на рассмотрение коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы) для принятия решения о необходимости внесения изменений во внутренние документы, указанные в подпунктах 4.1.2 и 4.1.3 пункта 4.1 настоящего Положения.

 

Глава 5. Система контрольных показателей уровня операционного риска

 

5.1. В целях контроля за уровнем операционного риска кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах на плановый годовой период в соответствии с приложением 1 к настоящему Положению контрольные показатели уровня операционного риска, а также устанавливает целевые значения этих показателей: значение показателя, при нарушении которого проводится ежедневный мониторинг значений показателя и реализация мер, направленных на устранение превышения фактического значения данного показателя над предельно допустимым значением показателя (далее - сигнальное значение), и предельно допустимое значение показателя, при нарушении которого информация доводится до совета директоров (наблюдательного совета) и применяются меры реагирования, которые описаны во внутренних документах кредитной организации (головной кредитной организации банковской группы) в соответствии с пунктом 5.4 настоящего Положения (далее - контрольное значение).

5.2. Совет директоров (наблюдательный совет) кредитной организации (головной кредитной организации банковской группы):

утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска на плановый годовой период в целом по кредитной организации (головной кредитной организации банковской группы), которые ежегодно подлежат пересмотру и актуализации кредитной организацией (головной кредитной организацией банковской группы) в рамках оценки соответствия процедур управления рисками текущей ситуации в кредитной организации (головной кредитной организации банковской группы), проводимой в соответствии с абзацем первым пункта 3.5 Указания Банка России N 3624-У, в том числе по результатам оценки эффективности функционирования системы управления операционным риском в соответствии с пунктом 4.4 настоящего Положения;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

обеспечивает контроль за фактическими значениями контрольных показателей уровня операционного риска;

обеспечивает реагирование кредитной организации (головной кредитной организации банковской группы) в случае превышения сигнальных и контрольных значений контрольных показателей уровня операционного риска.

5.3. Подразделение, ответственное за организацию управления операционным риском, проводит расчет сигнальных и контрольных значений контрольных показателей уровня операционного риска на основе статистических данных о событиях операционного риска за период не менее десяти лет в соответствии с установленным во внутренних документах кредитной организации (головной кредитной организацией банковской группы) порядком.

В случае если период ведения базы событий составляет менее десяти лет, кредитная организация (головная кредитная организация банковской группы) определяет методику учета недостающих данных во внутренних документах и производит расчет на основе фактически имеющегося периода наблюдений с последующим добавлением данных за новые годы по мере их накопления вплоть до достижения десяти лет.

Подразделение, ответственное за организацию управления операционным риском, оформляет расчет и обоснование сигнальных и контрольных значений контрольных показателей уровня операционного риска в виде заключения и включает его в состав материалов, направляемых им на рассмотрение коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы) при утверждении (пересмотре) политики управления операционным риском.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах орган управления кредитной организации (головной кредитной организации банковской группы), который утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска на плановый годовой период в разрезе направлений деятельности, в том числе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса, с учетом сигнальных и контрольных значений контрольных показателей уровня операционного риска в целом по кредитной организации (головной кредитной организации банковской группы), утвержденных в соответствии с абзацем вторым пункта 5.2 настоящего Положения.

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

5.4. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок действий должностных лиц в соответствии с пунктом 1.1 приложения 1 к Указанию Банка России N 3624-У, а также определяет функции и ответственность органов управления и подразделений кредитной организации (головной кредитной организации банковской группы), комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска или пересмотр сигнальных и контрольных значений контрольных показателей уровня операционного риска, в том числе порядок информирования совета директоров (наблюдательного совета) кредитной организации (головной кредитной организации банковской группы) в случае нарушения контрольных значений контрольных показателей уровня операционного риска.

 

Глава 6. Ведение базы событий

 

6.1. Кредитная организация (головная кредитная организация банковской группы) осуществляет ведение на постоянной основе базы событий.

6.2. Порядок ведения базы событий, включая требования к форме и содержанию вводимой информации, должен быть установлен во внутренних документах кредитной организации (головной кредитной организации банковской группы).

6.3. Головная кредитная организация банковской группы определяет во внутренних документах порядок ведения базы событий консолидировано по банковской группе с учетом потерь от реализации операционного риска у участников банковской группы. В случае раздельного ведения базы событий дочерние кредитные организации на ежемесячной основе предоставляют данные о событиях операционного риска и потерях в головную кредитную организацию банковской группы в целях расчета объема капитала банковской группы, выделяемого на покрытие потерь от реализации операционного риска, и соблюдения ВПОДК банковской группы.

В случае если база событий ведется головной кредитной организацией банковской группы раздельно с дочерними кредитными организациями, дочерние кредитные организации определяют во внутренних документах порядок ведения базы событий, который согласовывают с головной кредитной организацией банковской группы.

В случае если дочерние кредитные организации ведут учет событий операционного риска по элементам классификации, отличным от предусмотренных главой 3 настоящего Положения, например, в случае нахождения дочерней кредитной организации вне юрисдикции Российской Федерации, головная кредитная организация банковской группы устанавливает во внутренних документах правила соотнесения классификации событий операционного риска дочерних кредитных организаций, ведущих учет событий операционного риска по другим элементам классификации, с требованиями главы 3 настоящего Положения и определяет порядок предоставления отчетов дочерних кредитных организаций с учетом правил соотнесения классификации.

Головная кредитная организация банковской группы в случае необходимости определяет во внутренних документах дополнительные отчеты участников банковской группы по операционному риску, направляемые в головную кредитную организацию банковской группы.

6.4. Данные о событиях операционного риска и потерях от реализации событий операционного риска должны охватывать всю деятельность кредитной организации (головной кредитной организации банковской группы), все подразделения, организационные, информационные и технологические системы и регионы присутствия кредитной организации (головной кредитной организации банковской группы).

Кредитная организация (головная кредитная организация банковской группы) обеспечивает наличие в базе событий подробной информации о причинах и обстоятельствах реализованных событий операционного риска.

6.5. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах величину прямых и непрямых потерь от реализации события операционного риска, при котором кредитная организация (головная кредитная организация банковской группы) регистрирует событие операционного риска в базе событий (далее - порог регистрации).

Порог регистрации устанавливается кредитной организацией (головной кредитной организацией банковской группы) в зависимости от величины потерь и типа событий операционного риска:

для событий операционного риска, относящихся к типам событий операционного риска, указанным в подпунктах 3.6.1 и 3.6.2 пункта 3.6 настоящего Положения, порог регистрации в базе событий не устанавливается;

для событий операционного риска, потери по которым относятся к указанным в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, порог регистрации в базе событий не устанавливается;

для других типов событий операционного риска, потери по которым относятся к прямым и непрямым потерям, за исключением потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, порог регистрации в базе событий составляет не более 20 тысяч рублей.

Дочерняя кредитная организация банковской группы, созданная в соответствии с правом иностранного государства, регулирование деятельности которой осуществляется центральным банком и (или) иным органом надзора иностранного государства, в функции которого входят банковский надзор и надзор за финансовым рынком, соблюдает порог регистрации событий операционного риска в соответствии с требованиями, установленными центральным банком и (или) иным органом иностранного государства, в юрисдикции которых находится данная дочерняя кредитная организация банковской группы. В случае если центральным банком и (или) иным органом надзора иностранного государства, в функции которого входят банковский надзор и надзор за финансовым рынком, в юрисдикции которых находится данная дочерняя кредитная организация банковской группы, не установлены требования к порогу регистрации событий операционного риска в базе событий, головная кредитная организация банковской группы устанавливает во внутренних документах для данных дочерних кредитных организаций порог регистрации событий операционного риска в базе событий, предусмотренный настоящим пунктом.

В случае если событие операционного риска привело только к качественным потерям, оценка значимости которых в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения соотносится с уровнем "средние" или "низкие", кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах требования к регистрации таких событий операционного риска в базе событий.

Основанием для регистрации событий, повлекших потери, указанные в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, является результат рассмотрения кредитной организацией (головной кредитной организацией банковской группы) обращений клиентов, контрагентов, работников и третьих лиц в установленном во внутренних документах порядке.

6.6. База событий кредитной организации (головной кредитной организации банковской группы, кредитных организаций банковской группы в случае раздельного ведения базы событий) должна содержать следующую информацию:

уникальный порядковый идентификационный номер события операционного риска (группы событий операционного риска);

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

идентификатор группы событий операционного риска (в случае, если события операционного риска объединены в группу), определяемой в соответствии с пунктом 6.12 настоящего Положения, с указанием количества событий операционного риска в группе;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

дату, когда событие операционного риска было зарегистрировано в базе событий (дата регистрации);

время регистрации события операционного риска в базе событий в случае программно-аппаратной фиксации событий операционного риска;

дату, когда событие операционного риска произошло или впервые началось (дата реализации);

время, когда событие операционного риска произошло или впервые началось, в случае программно-аппаратной фиксации событий риска информационной безопасности и других событий операционного риска;

дату (и время в случае, если характер события операционного риска это предусматривает), когда кредитной организации (головной кредитной организации банковской группы) стало известно о событии операционного риска (дата выявления);

дату (и время для событий риска информационной безопасности) окончания события операционного риска (дата окончания события) в случае, если наличие такой информации определяется характером события операционного риска;

статус события операционного риска (в том числе "оценка потерь от реализации события операционного риска завершена" и "оценка потерь от реализации события операционного риска не завершена"). При этом кредитная организация (головная кредитная организация банковской группы) определяет виды статусов события операционного риска;

подразделение, в котором произошло событие операционного риска;

подразделение, выявившее событие операционного риска;

описание события операционного риска (детализированное описание события операционного риска, включающее ответы на вопросы: в чем заключается событие операционного риска, каким образом оно было обнаружено, что явилось его причиной (причинами);

категорию источника операционного риска в соответствии с пунктом 3.3 настоящего Положения;

значимые источники операционного риска, которые повлияли на реализацию события операционного риска, согласно письменному обоснованию работника кредитной организации (головной кредитной организации банковской группы) с указанием долей их влияния в отношении события операционного риска, установленных в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы);

тип события операционного риска в соответствии с пунктом 3.6 настоящего Положения;

вид операционного риска (в случае, если событие операционного риска отнесено к одному из видов операционного риска в соответствии с пунктом 1.4 настоящего Положения);

связь с другими видами операционного риска (риском информационной безопасности, риском нарушения непрерывности деятельности и другими) и другими видами риска (кредитным, рыночным, риском ликвидности, стратегическим, риском потери деловой репутации и другими) при наличии такой связи. При этом кредитная организация (головная кредитная организация банковской группы) указывает, является ли другой вид риска источником или следствием события операционного риска;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

идентификатор связанного события операционного риска в случае, если такая связь установлена. При этом кредитная организация (головная кредитная организация банковской группы) указывает, является ли событие операционного риска источником или следствием другого события операционного риска;

дополнительную классификацию типа события операционного риска в зависимости от вида риска;

направления деятельности первого уровня в соответствии с пунктом 3.9 настоящего Положения с указанием наиболее значимого из них;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

процесс согласно перечню процессов, определенному во внутренних документах кредитной организации (головной кредитной организации банковской группы);

этап процесса согласно определенным в кредитной организации (головной кредитной организации банковской группы) правилам описания процессов (при наличии);

информационную систему (в случае, если информационная система задействована при выполнении этапа процесса);

меры, направленные на уменьшение негативного влияния операционного риска, в случае если кредитная организация (головная кредитная организация банковской группы) в соответствии с внутренними документами разрабатывает их при реализации данного события операционного риска.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Группа полей базы событий, содержащая информацию о потерях от реализации события операционного риска по каждому виду потерь и возмещений, включает:

вид потери в соответствии с пунктом 3.11 настоящего Положения;

признак связи потери с другим видом риска (при наличии такой связи), который не будет включаться кредитной организацией (головной кредитной организацией банковской группы) в состав валовых прямых потерь, определяемых в соответствии с пунктом 6.7 настоящего Положения;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

величину потери от реализации события операционного риска (группы событий операционного риска) в рублях, определяемую в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы) (например, в случае прямых потерь - сумма бухгалтерской записи по счетам бухгалтерского учета, в случае непрямых потерь - оценочное значение, при этом для событий операционного риска, связанных с кредитным риском, отсутствует необходимость ежедневного пересмотра суммы основного долга (или остатка основного долга) и процентов по нему в базе событий при условии отражения данных в базе событий на дату возникновения события операционного риска и на ежеквартальной основе);

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

дату учета потери, то есть в случае реализации прямой потери - дату отражения прямой потери от реализации события операционного риска на счетах бухгалтерского учета (например, для событий правового риска датой учета потерь являются дата создания (изменения) резерва в соответствии с абзацем пятым подпункта 3.12.6 пункта 3.12 настоящего Положения и даты отражения в бухгалтерском учете других связанных с этим обстоятельством расходов; для событий операционного риска, связанных с кредитным риском, датой учета потерь является дата создания (изменения) резерва в соответствии с абзацем четвертым подпункта 3.12.1 пункта 3.12 настоящего Положения), в случае реализации непрямой потери - дату регистрации события операционного риска;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

информацию о бухгалтерской записи (бухгалтерских записях) в бухгалтерском учете содержащей суммы прямой потери;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

экспертную оценку качественной потери, определяемой в соответствии с подпунктом 3.13.2 пункта 3.13 настоящего Положения, в случае регистрации наличия качественной потери для события операционного риска, в результате которого возникла данная потеря;

обоснование величины потери (для косвенных потерь размером менее 100 тысяч рублей обоснование не заполняется) или причину, по которой потери не возникли. Формат обоснования величины потери кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах самостоятельно;

агрегированную сумму валовых прямых потерь и сумму косвенных потерь в рублях накопленным итогом с даты регистрации первой потери;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

агрегированную сумму валовых прямых потерь в рублях накопленным итогом с даты регистрации первой потери;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

сумму косвенных потерь в рублях накопленным итогом с даты регистрации первой потери;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

сумму потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, в рублях.

Группа полей базы событий, содержащая информацию о полученном возмещении понесенных потерь, определяемом в соответствии с пунктом 6.17 настоящего Положения, включает:

мероприятия, осуществленные кредитной организацией (головной кредитной организацией банковской группы) в целях получения возмещения по понесенным потерям от реализации события операционного риска;

вид возмещения в соответствии с пунктом 6.15 настоящего Положения;

признак связи возмещения с видом потерь от реализации конкретного события операционного риска, определяемым в соответствии с пунктом 3.11 настоящего Положения;

сумму возмещения в рублях;

дату отражения возмещения на счетах бухгалтерского учета;

информацию о бухгалтерской записи суммы возмещения;

источники получения возмещения (от страховой организации, иностранной страховой организации, входящих в банковскую группу, страховой организации, иностранной страховой организации, не входящих в банковскую группу, связанных с кредитной организацией (головной кредитной организацией банковской группы, участниками банковской группы) лиц в соответствии со статьей 64.1 Федерального закона N 86-ФЗ, контрагента, работников кредитной организации (головной кредитной организации банковской группы, участников банковской группы) и других третьих лиц);

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

сумму чистых потерь, определяемых в соответствии с пунктом 6.18 настоящего Положения.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

В случае если сумма потерь и возмещений отражается кредитной организацией (головной кредитной организацией банковской группы) в иностранной валюте, пересчет в рубли осуществляется кредитной организацией (головной кредитной организацией банковской группы) в базе событий по официальному курсу иностранной валюты по отношению к рублю, установленному Банком России в соответствии с пунктом 15 статьи 4 Федерального закона N 86-ФЗ (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2019, N 29, ст. 3857) (далее - курс иностранной валюты, установленный Банком России), на дату отражения в бухгалтерском учете кредитной организации (головной кредитной организацией банковской группы).

В случае если сумма возмещений в рублях, рассчитанная в соответствии с курсом иностранной валюты, установленным Банком России, превышает сумму потерь в рублях, в базе событий должна быть отражена сумма потерь в рублях.

В случае если кредитная организация (головная кредитная организация банковской группы) использует дополнительные поля базы событий, кредитная организация (головная кредитная организация банковской группы) определяет их во внутренних документах.

6.7. Кредитная организация (головная кредитная организация банковской группы) ежемесячно на отчетную дату определяет величину валовых прямых потерь от реализации событий операционного риска со статусом "оценка потерь от реализации события операционного риска не завершена" начиная от даты регистрации события операционного риска в базе событий и от начала календарного года (в случае, если событие операционного риска реализовалось ранее текущего календарного года) нарастающим итогом. Также в расчет валовых прямых потерь кредитной организацией (головной кредитной организацией банковской группы) включаются прямые потери от реализации событий операционного риска, статус которых был переведен в статус "оценка потерь от реализации события операционного риска завершена", в течение отчетного месяца.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Головная кредитная организация банковской группы для целей расчета величины валовых прямых потерь по банковской группе осуществляет перерасчет величины валовых прямых потерь и последующих возмещений от событий операционного риска, произошедших у иностранных дочерних кредитных организаций, ведущих учет событий операционного риска в иностранной валюте, в рубли по курсу иностранной валюты, установленному Банком России, на отчетную дату, с последующим ежемесячным перерасчетом на отчетную дату.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

6.7.1. В расчет величины валовых прямых потерь кредитной организацией (головной кредитной организацией банковской группы) включаются:

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

сумма прямых потерь от реализации события операционного риска, определяемых в соответствии с пунктом 3.12 настоящего Положения, включая обесценение, списание активов, отраженных на счетах бухгалтерского учета кредитной организации (головной кредитной организации банковской группы);

корректировка стоимости прямых потерь, не отраженных в бухгалтерском учете в течение текущего календарного года, связанных с перерасчетом величины прямых потерь от реализации события операционного риска прошлого периода, в случае, если отражение в бухгалтерском учете потерь длится более одного календарного года (распределенные во времени потери). При этом в случае такой корректировки потери рассчитываются кредитной организацией (головной кредитной организацией банковской группы) в корреспонденции со счетами расходов текущего года;

сумма прямых потерь по событиям операционного риска, которые вызывают искажение финансовой отчетности кредитной организации (головной кредитной организации банковской группы) за определенный отчетный период (календарный год), но которые могут быть полностью скорректированы в дальнейшем (например, при завершении расчетов, создании исправительных бухгалтерских записей и переоценке справедливой стоимости финансовых инструментов, при определении временных потерь).

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок учета величины валовых прямых потерь, позволяющий точно определять уровень операционного риска, в том числе для целей расчета показателя, указанного в абзаце седьмом подпункта 1.1.1 пункта 1 приложения 1 к настоящему Положению.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

6.7.2. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок идентификации прямых потерь и возмещений в разрезе всех событий операционного риска, повлекших потери, с указанием дат учета, сумм и реквизитов бухгалтерских записей.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

6.7.3. В валовые прямые потери кредитной организацией (головной кредитной организацией банковской группы) не включаются:

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

расходы кредитной организации (головной кредитной организации банковской группы) по договорам на поддержание и регулярное обслуживание систем инженерно-технического обеспечения;

внутренние и внешние расходы кредитной организации (головной кредитной организации банковской группы), направленные на улучшение деятельности после завершения оценки потерь от реализации операционного риска (модернизация, совершенствование, мероприятия по предотвращению риска, улучшению качества процессов, оценке рисков и расширению функционала по управлению операционным риском);

выплата страховых премий;

абзац утратил силу с 1 октября 2022 года. - Указание Банка России от 25.03.2022 N 6103-У.

6.8. По одному событию операционного риска кредитной организацией (головной кредитной организацией банковской группы) выявляются и учитываются в базе событий все виды произошедших потерь. Каждая потеря отражается кредитной организацией (головной кредитной организацией банковской группы) в базе событий отдельной записью с указанием идентификатора записи потери и номера бухгалтерской записи (идентификатора бухгалтерской записи), даты учета потери и с пометкой о связи с другим видом риска.

Кредитная организация (головная кредитная организация банковской группы) указывает перечень всех бухгалтерских записей одного вида потерь от реализации события операционного риска при указании в базе событий информации, приведенной в абзаце тринадцатом пункта 6.6 настоящего Положения, или в виде вложения со списком всех бухгалтерских записей в разбивке по суммам.

6.9. Кредитная организация (головная кредитная организация банковской группы) ведет учет потерь от реализации событий всех видов операционного риска, в том числе событий риска нарушения непрерывности деятельности, событий операционного риска, связанных с потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, и событий других нефинансовых рисков в составе общей базы событий либо раздельно. При этом кредитная организация (головная кредитная организация банковской группы) устанавливает единый подход к идентификации, оценке и классификации в соответствии с главами 2 и 3 настоящего Положения, исключающий дублирование и пропуски информации, в целях определения количественных контрольных показателей уровня операционного риска, указанных в приложении 1 к настоящему Положению.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

6.10. В случае если кредитная организация (головная кредитная организация банковской группы) ведет базу событий отдельных видов операционного риска, событий регуляторного риска и (или) событий других нефинансовых рисков раздельно, кредитная организация (головная кредитная организация банковской группы) ежемесячно на отчетную дату включает события регуляторного риска и других нефинансовых рисков с прямыми потерями, связанными с реализацией операционного риска, в состав базы событий с учетом исключения пропусков и дублирования потерь, связанных с раздельным ведением баз событий.

6.11. В случае если у события операционного риска потери распределены по разным учетным периодам (годам), данные потери в базе событий должны быть отнесены к годам их отражения на счетах бухгалтерского учета.

6.12. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах специальные критерии для определения данных о потерях, вызванных единичными событиями операционного риска, и о потерях, вызванных однородными событиями операционного риска, произошедшими в течение установленного во внутренних документах периода времени (группа событий).

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах критерии однородности событий операционного риска для целей их группировки (например, события операционного риска объединяются кредитной организацией (головной кредитной организацией банковской группы) в одну группу в случае, если у них одинаковый источник операционного риска, один и тот же процесс или этап процесса, тип события операционного риска и (или) вид потерь, а период времени возникновения составил не более 48 часов). Группировка событий операционного риска должна быть предметом оценки, проводимой уполномоченным подразделением.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) регистрирует группу событий в базе событий как одно событие операционного риска с указанием количества событий операционного риска, включенных в группу событий.

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

6.13. Возмещения потерь отражаются в группе полей базы событий, содержащей информацию о полученном возмещении понесенных потерь, по каждому событию операционного риска. Каждое возмещение потерь должно быть связано с регистрацией в бухгалтерском учете компенсации потери от реализации события операционного риска, отражено на счетах бухгалтерского учета в виде бухгалтерской записи по счетам доходов (прибылей), обратной бухгалтерской записи по счетам расходов или убытков, другой бухгалтерской записи по счетам бухгалтерского учета, отражающих поступление возмещения, с указанием номера бухгалтерской записи (идентификатора бухгалтерской записи), даты записи.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

6.14. Кредитная организация (головная кредитная организация банковской группы) отражает в базе событий все возмещения одного вида по каждой прямой потере от реализации события операционного риска при указании в базе событий информации, приведенной в абзаце тринадцатом пункта 6.6 настоящего Положения, или в виде вложения со списком всех бухгалтерских записей в разбивке по суммам.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) в случае получения возмещения по косвенным потерям (включая страховые выплаты, направленные на возмещение убытков, связанных с нарушением операционной устойчивости кредитной организации (головной кредитной организации банковской группы) и (или) приостановкой основных и прочих процессов, определяемых кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, из-за реализации источников операционного риска) вправе учитывать полученные возмещения при определении величины косвенной потери расчетным методом как без отражения отдельной записи о возмещении в базе событий (производится перерасчет величины косвенной потери с указанием информации о полученном возмещении), так и с отражением в базе событий отдельной записи о сумме полученного возмещения.

(абзац введен Указанием Банка России от 25.03.2022 N 6103-У)

6.15. Виды возмещений потерь:

возмещения, полученные в судебном порядке;

возмещения, полученные во внесудебном порядке по соглашению сторон;

страховые выплаты от одной или нескольких страховых организаций, иностранных страховых организаций;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

возмещения, полученные от третьих лиц;

возмещения от работников кредитной организации (головной кредитной организации банковской группы, участника банковской группы);

возмещения, полученные из других источников;

восстановление резерва на возможные потери по ссудам, ссудной и приравненной к ней задолженности в соответствии с Положением Банка России N 590-П и Указанием Банка России N 1584-У;

восстановление резерва по прочим потерям и обязательствам некредитного характера в соответствии с Положением Банка России N 611-П.

6.16. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок контроля за своевременностью отражения возмещения потерь от реализации событий операционного риска.

6.17. Кредитная организация (головная кредитная организация банковской группы) должна учитывать в базе событий отдельно валовые потери и чистые потери, определяемые в соответствии с пунктом 6.18 настоящего Положения. Возмещение используется кредитной организацией (головной кредитной организацией банковской группы) для уменьшения потерь только после того, как платеж получен кредитной организацией (головной кредитной организацией банковской группы) и отражен на счетах бухгалтерского учета. Дебиторская задолженность не является возмещением. Кредитная организация (головная кредитная организация банковской группы) в целях расчета суммы чистых потерь по событию операционного риска учитывает сумму возмещений, не превышающую сумму потерь в рублях. Кредитная организация (головная кредитная организация банковской группы) вправе не отражать поступившие возмещения в базе событий. В этом случае сумма чистых потерь от реализации события операционного риска в базе событий должна быть равна сумме валовых потерь от реализации данного события операционного риска.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

В случае поступления возмещения от третьего лица в базе событий кредитная организация (головная кредитная организация банковской группы) указывает наименование третьего лица и его характеристики (например, страховая организация, контрагент, признак связи с кредитной организацией или банковской группой).

К зачету сумм возмещения кредитной организацией (головной кредитной организации банковской группы) не принимаются следующие виды возмещений:

возмещения, полученные от страховых организаций, входящих в банковскую группу (за исключением случая, когда возмещение от страховой организации, входящей в банковскую группу, получено в рамках перестрахования рисков от страховых брокеров, не входящих в банковскую группу);

возмещения от связанных с кредитной организацией (головной кредитной организации банковской группы, участниками банковской группы) лиц, акционеров, бенефициаров;

возмещения от других физических и юридических лиц, способных оказать влияние на деятельность кредитной организации (головной кредитной организации банковской группы, участников банковской группы).

Проверка достоверности, полноты и своевременности учета возмещений должна включаться кредитной организацией (головной кредитной организацией банковской группы) в программу оценки эффективности функционирования системы управления операционным риском, проводимой уполномоченным подразделением.

6.18. Чистые потери от реализации события операционного риска определяются как потери за вычетом суммы возмещений с учетом требований пункта 6.17 настоящего Положения.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

6.19. В случае корректировки значения потерь и возмещений в базе событий предыдущее значение потерь кредитной организацией (головной кредитной организацией банковской группы) не исправляется, а добавляется новая информация с новым значением (должна быть обеспечена сохранность предыдущих значений).

Информация о событиях операционного риска в базе событий подлежит ежегодной независимой оценке, проводимой уполномоченным подразделением.

6.20. Кредитная организация (головная кредитная организация банковской группы) обеспечивает сохранность всех записей в базе событий. Внесение изменений и дополнений в информацию базы событий фиксируется кредитной организацией (головной кредитной организацией банковской группы) с указанием фамилии, имени, отчества (последнее при наличии) работника, сделавшего исправление, даты и основания исправления. Корректность исправления записи в соответствии с указанным основанием подлежит верификации в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы).

6.21. Кредитная организация (головная кредитная организация банковской группы) устанавливает перечень должностей работников кредитной организации (головной кредитной организации банковской группы) с возложением полномочий и персональной ответственности на лиц, их замещающих, за несоблюдение требований внутренних документов по ведению базы событий, в том числе указывает во внутренних документах:

перечень должностей работников, ответственных за ведение базы событий;

перечень должностей работников, предоставляющих информацию для базы событий;

перечень должностей работников, определяющих потери от реализации событий операционного риска, занесенные в базу событий;

перечень должностей работников, ответственных за проверку полноты информации в базе событий и сверку счетов бухгалтерского учета с информацией, отраженной в базе событий.

 

Глава 7. Управление риском информационной безопасности

 

7.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационной безопасности.

7.2. Риск информационной безопасности включает в себя:

риск преднамеренных действий со стороны работников кредитной организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа (далее - киберриск);

другие виды риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

7.3. Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением Банка России от 4 июня 2020 года N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 23 сентября 2020 года N 59991 (далее - Положение Банка России N 719-П), и Положением Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", зарегистрированным Министерством юстиции Российской Федерации 16 мая 2019 года N 54637 (далее - Положение Банка России N 683-П) (далее - инциденты защиты информации), вследствие которых возникли прямые и (или) непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска информационной безопасности), фиксируются кредитной организацией (головной кредитной организацией банковской группы) в базе событий с присвоением вида операционного риска в соответствии с абзацем семнадцатым пункта 6.6 настоящего Положения.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Негативное влияние риска информационной безопасности должно определяться в виде потерь, приведенных в пункте 3.11 настоящего Положения и пункте 4 приложения 5 к настоящему Положению.

7.4. Кредитная организация (головная кредитная организация банковской группы) классифицирует события риска информационной безопасности по источникам операционного риска в соответствии с пунктом 3.3 настоящего Положения, а также по уязвимостям информационных систем и их компонентов как источникам последующих уровней классификации источников событий операционного риска в соответствии с пунктом 3.4 настоящего Положения, обусловленным недостатками процессов обеспечения защиты информации, способствующими реализации угрозы безопасности информации (совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации).

7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий, так и в отдельной базе событий риска информационной безопасности). В случае если кредитная организация (головная кредитная организация банковской группы) ведет отдельную базу событий риска информационной безопасности, подразделению (работникам), ответственному (ответственным) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности), необходимо соблюдать требования к классификации событий риска информационной безопасности в соответствии с пунктами 3.3 - 3.15 настоящего Положения и требования к ведению базы событий в соответствии с пунктами 6.6 - 6.21 настоящего Положения.

7.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 5 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения и пунктом 4 приложения 5 к настоящему Положению с распределением по датам отражения в бухгалтерском учете, с раздельным учетом поступивших возмещений. В случае выявления событий риска информационной безопасности, связанных с не контролируемым кредитной организацией (головной кредитной организацией банковской группы) распространением сведений, составляющих банковскую тайну, кредитная организация (головная кредитная организация банковской группы) обеспечивает их регистрацию в базе событий, включающую описание указанных событий риска информационной безопасности в соответствии с пунктом 6.6 настоящего Положения.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

7.7. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе:

политику информационной безопасности;

выявление и идентификацию риска информационной безопасности, а также его оценку;

участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы) в решении вопросов управления риском информационной безопасности;

распределение функций и ответственности коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы), в том числе исключающее конфликт интересов в рамках организационной структуры обеспечения информационной безопасности, а также предполагающее определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

выявление событий риска информационной безопасности, включая рассмотрение обращений клиентов, контрагентов, работников и третьих лиц, связанных с нарушением информационной безопасности, выявление и регистрацию инцидентов защиты информации, выявление фактов компрометации объектов информационной инфраструктуры;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

обеспечение осведомленности кредитной организации (головной кредитной организации банковской группы) и участников технологических процессов об актуальных угрозах безопасности информации, обмен информацией о событиях риска информационной безопасности, в том числе об инцидентах защиты информации, и представление данных в Банк России в соответствии с требованиями пункта 8 Положения Банка России N 683-П;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников кредитной организации (головной кредитной организации банковской группы), в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы) в области противодействия угрозам безопасности информации;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

установление и реализацию программ контроля, в том числе программ аудита, включая независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями пункта 9 Положения Банка России N 683-П;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

проведение мониторинга риска информационной безопасности;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

соответствие фактических значений контрольных показателей уровня риска информационной безопасности принятым в кредитной организации (головной кредитной организации банковской группы) значениям;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе в соответствии с реализуемыми уровнями защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями подпункта 3.1 пункта 3 Положения Банка России N 683-П;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

обеспечение защиты от угроз безопасности информации, включая обеспечение защиты информации, управление риском информационной безопасности при передаче третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) выполнения отдельных функций кредитной организации (головной кредитной организации банковской группы) и (или) использовании внешних информационных систем в рамках реализации направлений деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы), управление риском несанкционированного доступа внутреннего нарушителя, являющегося работником кредитной организации (головной кредитной организации банковской группы) или третьим лицом, обладающими полномочиями по доступу к объектам информационной инфраструктуры кредитной организации (далее - внутренний нарушитель), предотвращение не контролируемого кредитной организацией (головной кредитной организацией банковской группы) распространения сведений, составляющих банковскую тайну, а также обеспечение операционной надежности;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

порядок реагирования на выявленные события риска информационной безопасности, в том числе инциденты защиты информации, и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации таких событий, включая порядок взаимодействия кредитной организации (головной кредитной организации банковской группы) с клиентами и третьими лицами, в том числе в случае получения уведомлений, связанных с осуществлением перевода денежных средств без согласия клиентов;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с пунктом 5 Положения Банка России N 683-П;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

процессы применения прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям пункта 4 Положения Банка России N 683-П;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с подпунктом 3.2 пункта 3 Положения Банка России N 683-П.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

7.8. В политике информационной безопасности кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет:

функции и ответственность коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы) в рамках управления риском информационной безопасности;

основные принципы функционирования системы обеспечения информационной безопасности и задачи управления риском информационной безопасности;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

сигнальные и контрольные значения контрольных показателей уровня риска информационной безопасности;

основные принципы организации контроля за функционированием системы обеспечения информационной безопасности;

требования к созданию ресурсных (кадровых и финансовых) условий системы обеспечения информационной безопасности;

требования к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), которым могут быть переданы функции кредитной организации (головной кредитной организации банковской группы) по обеспечению информационной безопасности, а также определение порядка взаимодействия и распределения ответственности между кредитной организацией (головной кредитной организацией банковской группы) и привлеченными ею третьими лицами.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Политика информационной безопасности должна утверждаться коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).

Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационной безопасности.

7.9. Кредитная организация (головная кредитная организация банковской группы) с учетом требований, указанных в главе 9 настоящего Положения, определяет выполнение службой информационной безопасности или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности, следующих функций.

7.9.1. В целях обеспечения информационной безопасности:

разработка политики информационной безопасности;

контроль осуществления работниками кредитной организации (головной кредитной организации банковской группы) мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами кредитной организации (головной кредитной организации банковской группы);

осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;

разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;

составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;

осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

7.9.2. В целях управления риском информационной безопасности:

соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;

ведение базы событий риска информационной безопасности;

участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;

абзац утратил силу с 1 октября 2022 года. - Указание Банка России от 25.03.2022 N 6103-У;

составление отчетов по событиям риска информационной безопасности и направление их в службу управления рисками и должностному лицу, ответственному за обеспечение информационной безопасности;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности, определенных в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению;

участие в разработке внутренних документов в области управления риском информационной безопасности;

информирование работников кредитной организации (головной кредитной организации банковской группы) по вопросам, связанным с управлением риском информационной безопасности;

осуществление других функций, связанных с управлением риском информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

7.10. Служба информационной безопасности формирует сводные отчеты по рискам информационной безопасности, направляемые на рассмотрение должностному лицу, ответственному за обеспечение информационной безопасности, и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), в дополнение к отчетам, формируемым подразделением, ответственным за организацию управления операционным риском в соответствии с пунктом 4.2 настоящего Положения.

Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах порядок и сроки представления данных отчетов.

(п. 7.10 в ред. Указания Банка России от 25.03.2022 N 6103-У)

7.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных настоящей главой, в рамках оценки эффективности системы управления операционным риском.

 

Глава 8. Управление риском информационных систем

 

8.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационных систем, включающий мероприятия и процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах.

8.2. В целях управления риском информационных систем кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации (головной кредитной организации банковской группы) и обеспечивает ее соблюдение.

8.3. В политике информационных систем кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем определяет:

функции и полномочия подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем и их компонентов (далее - подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем), по исполнению политики информационных систем и требований настоящей главы;

должностное лицо (лицо, его замещающее), ответственное за обеспечение функционирования информационных систем кредитной организации (головной кредитной организации банковской группы) и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем (далее - должностное лицо, ответственное за информационные системы), не участвующее в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности, с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы);

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

абзац утратил силу с 1 октября 2022 года. - Указание Банка России от 25.03.2022 N 6103-У;

требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем;

порядок информационного взаимодействия в рамках реализации политики информационных систем;

порядок и периодичность формирования отчетов должностного лица, ответственного за информационные системы, и подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, направляемых на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы).

Политика информационных систем утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).

Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационных систем.

8.4. Должностное лицо, ответственное за информационные системы, проводит не реже одного раза в год анализ необходимости пересмотра требований политики информационных систем в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, и направляет результаты анализа на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о необходимости внесения изменений в политику информационных систем и внутренние документы.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок и правила проведения анализа и пересмотра политики информационных систем.

8.5. Кредитная организация (головная кредитная организация банковской группы) описывает во внутренних документах архитектуру информационных систем и состав ее элементов, в том числе с учетом оценки влияния на них третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы):

информационных систем кредитной организации (головной кредитной организации банковской группы) с соотнесением их элементов с процессами в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, выполнение которых они обеспечивают;

структуры информационного обмена между элементами информационных систем, используемых при обеспечении процессов кредитной организации (головной кредитной организации банковской группы);

информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и их элементов, обеспечивающих процессы кредитной организации (головной кредитной организации банковской группы), и структуры информационного обмена между их элементами и элементами других информационных систем кредитной организации (головной кредитной организации банковской группы). Кредитная организация (головная кредитная организация банковской группы) в случае отсутствия информации об информационных системах третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) документирует причины и учитывает отсутствие указанной информации при оценке уровня риска информационных систем, в том числе в соответствии с абзацами седьмым и восьмым подпункта 8.7.2 пункта 8.7 настоящего Положения;

подразделений и работников подразделений кредитной организации (головной кредитной организации банковской группы) и (или) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), являющихся пользователями и (или) обеспечивающих функционирование информационных систем.

(п. 8.5 в ред. Указания Банка России от 25.03.2022 N 6103-У)

8.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает проведение подразделениями кредитной организации (головной кредитной организации банковской группы) мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, влияющих на информационные системы (в том числе рисков уничтожения (искажения, безвозвратного удаления) носителей и (или) хранилищ информации и данных, хранящихся в информационных системах).

8.7. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем разрабатывает во внутренних документах и соблюдает требования к информационным системам с учетом их влияния на обеспечение бесперебойной работы процессов и операционную устойчивость кредитной организации (головной кредитной организации банковской группы).

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

8.7.1. Требования к структуре информационных систем, включая требования к:

составу основных функций, компонентов, подсистем информационных систем и их иерархической структуры в соответствии с заданными кредитной организацией (головной кредитной организацией банковской группы) функциональными требованиями и техническими заданиями;

средствам и способам обмена информации между подсистемами информационных систем в случае распределенной архитектуры, в том числе с элементами, размещенными у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

архитектуре взаимодействия со смежными информационными системами, в том числе третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

8.7.2. Требования к стандартизации и унификации, используемые при создании, модернизации и эксплуатации информационных систем, включая требования к:

перечню используемых кредитной организацией (головной кредитной организацией банковской группы) программных и технических средств;

перечню программно-аппаратных решений, требующих лицензирования и сертификации;

правилам разработки (как собственными силами кредитной организации (головной кредитной организации банковской группы), так и силами привлеченных подрядчиков), приемки, тестирования, сопровождения информационных систем и ведения рабочей документации, включая порядок хранения и изменения исходного кода (в том числе раздельное хранение, исключающее доступ разработчиков);

классификации информационных систем с учетом критичности и влияния информационных систем на процессы, а также влияния сбоев в работе информационных систем на процессы кредитной организации (головной кредитной организации банковской группы);

квалификации работников, задействованных при разработке и эксплуатации информационных систем;

закупке услуг и информации в случае необходимости привлечения третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе порядку их выбора, определения их ответственности и правил их взаимодействия;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

критериям и порядку определения технической и экономической целесообразности передачи на аутсорсинг элементов информационных систем с учетом рисков утраты доступа к этим элементам информационных систем и утраты данных, а также порядку контроля кредитной организации (головной кредитной организации банковской группы) за элементами информационных систем, переданными на аутсорсинг.

8.7.3. Требования к надежности функционирования информационных систем, включая требования к:

порядку выявления и устранения сбоев информационных систем, включающему перечень возможных отказов и (или) сбоев информационных систем или их элементов, их классификацию и примерные варианты решения, а также к информационному, техническому и программному обеспечению информационных систем;

режимам функционирования информационных систем (например, период доступности системы в течение суток, максимальное допустимое время простоя в год, допустимые интервалы в случае установки обновления);

аутсорсингу обслуживания и функционирования информационных систем, включая обязательные мероприятия по обеспечению сохранности элементов информационных систем, переданных на аутсорсинг, доступа к ним и контроля кредитной организации (головной кредитной организации банковской группы) за ними, в том числе персональную ответственность должностных лиц за сохранность информационных систем и данных, переданных на аутсорсинг;

перечню показателей надежности функционирования информационных систем и их пороговым значениям;

инструментам, методам контроля и способам оценки надежности функционирования информационных систем кредитной организации (головной кредитной организации банковской группы);

проведению мероприятий по повышению качества функционирования информационных систем;

периоду коммерческого использования с сохранением требуемых функций информационных систем (жизненному циклу информационных систем);

другие требования, отражающие особенности обеспечения функционирования процессов и структуры информационных систем кредитной организации (головной кредитной организации банковской группы).

8.7.4. Требования к обеспечению качества данных в информационных системах в разрезе характеристик качества данных в рамках обеспечения функционирования процессов, включая требования к:

точности и достоверности данных в части отсутствия синтаксических и семантических ошибок в данных, а также их соответствия реальным и статистически наиболее вероятным значениям свойств, характеристик и параметров, зафиксированных в данных;

полноте данных в части достаточности объема данных (количеству хранящихся в информационных системах записей), глубине данных (периоду данных, используемому для проведения операций и оценки эффективности процессов, применяемых методик и моделей процессов) и широте данных (охвату данными всех разрезов, свойств и характеристик объектов), требуемым в рамках обеспечения функционирования процессов;

свойствам данных в любой момент времени адекватно отражать состояние объектов предметной области (актуальность данных);

взаимной непротиворечивости данных, хранящихся в информационных системах кредитной организации (головной кредитной организации банковской группы), других источниках и носителях информации, унификации данных при их перемещении в информационных системах и процессах, целостности соответствующих идентификационных ссылок и связей в структурах баз данных (согласованность данных);

возможности использования данных при функционировании процессов (доступность данных);

возможности осуществления контроля качества и происхождения данных, в том числе посредством отражения в информационных системах источников данных, истории создания, изменения, преобразования, удаления, хранения и передачи данных (контролируемость данных);

возможности сохранять установленный уровень функциональности и качества данных после их утраты, повреждения или изменения в результате сбоев или других нарушений функционирования информационных систем (восстанавливаемость данных);

другим характеристикам качества данных, определяемым кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах.

Кредитная организация (головная кредитная организация банковской группы) с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей определяет во внутренних документах дополнительные характеристики качества данных в информационных системах, включающие разработку методики обеспечения качества данных и порядка обеспечения качества данных.

8.7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающую следующие элементы:

классификатор возможных источников и причин образования в информационных системах данных, не соответствующих требованиям к качеству данных в информационных системах;

показатели (индикаторы) качества данных для оценки характеристик качества данных, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) для различных информационных систем;

методы и алгоритмы расчета, правила измерения показателей качества данных, в том числе с использованием контрольных выборок данных;

критерии оценки качества данных.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы методики обеспечения качества данных в информационных системах.

Кредитная организация (головная кредитная организация банковской группы) применяет элементы методики обеспечения качества данных с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также их типов и форматов.

8.7.6. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающий следующие элементы:

процедуры измерения показателей качества данных;

процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных, критериев оценки качества данных;

процедуры реагирования на случаи нарушения установленных кредитной организацией (головной кредитной организацией банковской группы) предельно допустимых значений показателей качества данных, критериев оценки качества данных;

процедуры, правила и периодичность контроля качества данных и формирования отчетов о качестве данных, о проведении мероприятий контроля качества данных;

процедуры исправления выявленных ошибок в данных и документирования внесенных в них изменений;

порядок взаимодействия органов управления, подразделений и должностных лиц кредитной организации (головной кредитной организации банковской группы) по вопросам обеспечения качества данных, устанавливающий их полномочия, ответственность, подотчетность и обеспеченность ресурсами, в том числе определяющий в кредитной организации (головной кредитной организации банковской группы) должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах;

порядок и периодичность (не реже одного раза в год) проведения независимой оценки качества данных.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы порядка обеспечения качества данных в информационных системах.

8.7.7. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах дополнительные требования к информационным системам и их функционированию с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.

8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о пересмотре требований к информационным системам.

8.8. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах и соблюдает следующие требования по обеспечению непрерывности и качества функционирования информационных систем.

8.8.1. Разработка, реализация и контроль выполнения требований к информационным системам, обеспечивающим функционирование системы информационной безопасности в соответствии с пунктом 7.7 настоящего Положения.

8.8.2. Обеспечение условий эксплуатации технических средств элементов информационных систем, а также устройств бесперебойного электропитания, пожаротушения, вентиляции и кондиционирования, резервных цифровых каналов и устройств связи, резервных носителей данных.

8.8.3. Регулярное (не реже одного раза в день) резервное копирование данных критически важных процессов на резервные технические средства, размещенные не в тех зданиях, в которых размещены действующие технические средства, обеспечивающие функционирование информационных систем в текущем рабочем режиме. Кредитная организация (головная кредитная организация банковской группы) обеспечивает надежность функционирования резервных технических средств, в том числе соблюдение требования подпункта 8.8.2 настоящего пункта, режима охраны и доступа.

8.8.4. Использование программного обеспечения, принятого в эксплуатацию с соблюдением требований подпункта 8.7.2 пункта 8.7 настоящего Положения и технических условий эксплуатации, описанных в эксплуатационной документации программного обеспечения кредитной организации (головной кредитной организации банковской группы).

8.8.5. Наличие во внутренних документах кредитной организации (головной кредитной организации банковской группы) положения и стратегии по обеспечению непрерывности и восстановления функционирования информационных систем. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах орган кредитной организации (головной кредитной организации банковской группы), который утверждает стратегию и положение по обеспечению непрерывности и восстановления функционирования информационных систем, с установлением обязательств соблюдения требований внутренних документов всеми подразделениями кредитной организации (головной кредитной организации банковской группы).

8.8.6. Проведение кредитной организацией (головной кредитной организацией банковской группы) регулярных (не реже одного раза в год) оценок состава компонентов, архитектуры, информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности для обеспечения функционирования процессов кредитной организации (головной кредитной организации банковской группы), по результатам которых кредитной организацией (головной кредитной организацией банковской группы) принимаются меры по устранению выявленных недостатков в информационных системах.

8.8.7. Ежегодное тестирование уязвимостей информационных систем и (или) их компонентов и других источников риска информационных систем, а также разработка комплекса мероприятий, направленных на устранение выявленных уязвимостей информационных систем и (или) других источников риска информационных систем.

8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) оценки соблюдения установленных настоящей главой требований, включая оценку эффективности:

соблюдения политики информационных систем;

мероприятий, направленных на повышение качества системы управления риском информационных систем и уменьшение негативного влияния риска информационных систем;

требований к информационным системам в целях управления риском информационных систем;

требований по обеспечению непрерывности и качества функционирования информационных систем.

Уполномоченное подразделение направляет отчеты по результатам оценки соблюдения требований, установленных настоящей главой, совету директоров (наблюдательному совету) и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), подразделению (подразделениям), ответственному (ответственным) за обеспечение функционирования информационных систем, и службе управления рисками.

8.8.9. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет подразделение (подразделения), ответственное (ответственные) за обеспечение непрерывности функционирования информационных систем, включая:

определение полномочий подразделения и его работников;

целевые показатели и критерии эффективности работы подразделения с занесением их в положение о подразделении и должностные инструкции работников;

контрольные процедуры и целевые показатели подразделения, в том числе порядок их актуализации.

8.8.10. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации (головной кредитной организации банковской группы), включая его полномочия и требования к его квалификации.

8.8.11. Должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации (головной кредитной организации банковской группы), регулярно (не реже одного раза в год) проводит самооценку рисков информационных систем в разрезе процессов с учетом требований настоящей главы и направляет отчеты по результатам самооценки в подразделение, ответственное за организацию управления операционным риском, и (или) другому органу, установленному кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах.

8.8.12. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет подразделение, ответственное за предоставление отчетов по риску информационных систем в соответствии с требованиями пункта 4.2 настоящего Положения, а также порядок предоставления отчетов подразделению, ответственному за организацию управления операционным риском.

8.8.13. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах дополнительные требования к обеспечению непрерывности и качества функционирования информационных систем с учетом осуществляемых операций и (или) действующих процессов, принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.

 

Глава 9. Соблюдение требований настоящего Положения кредитными организациями (головной кредитной организацией банковской группы)

 

9.1. Банк, размер активов которого составляет 500 миллиардов рублей и более на начало текущего отчетного года в соответствии со значением статьи "Всего активов", определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 "Бухгалтерский баланс (публикуемая форма)", установленного приложением 1 к Указанию Банка России N 4927-У (далее - банк, размер активов которого составляет 500 миллиардов рублей и более):

9.1.1. обязан соблюдать:

требования глав 1, 3 - 8 настоящего Положения и приложений 1, 2, 4, 5 к настоящему Положению;

требования абзацев первого - четвертого подпункта 2.1.1, подпунктов 2.1.2 - 2.1.4, абзацев первого - второго, четвертого - тринадцатого, шестнадцатого - девятнадцатого подпункта 2.1.5, подпунктов 2.1.6 - 2.1.7 пункта 2.1, пунктов 2.2 - 2.5 главы 2 настоящего Положения;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

9.1.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.1.1 настоящего пункта.

9.2. Банк с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей на начало текущего отчетного года в соответствии со значением статьи "Всего активов", определяемым в соответствии с Разработочной таблицей для составления Бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 "Бухгалтерский баланс (публикуемая форма)", установленного приложением 1 к Указанию Банка России N 4927-У (далее - банк с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей):

9.2.1. обязан соблюдать:

требования глав 1, 3, 5 - 8 настоящего Положения и приложений 1, 2, 4, 5 к настоящему Положению,

требования абзацев первого - третьего, четвертого (в части анализа динамики КИР по критически важным процессам) подпункта 2.1.1, подпункта 2.1.2 (банк с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей, с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми и (или) косвенными потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого, третьего - пятого подпункта 2.1.4, абзацев первого, второго, четвертого - тринадцатого, шестнадцатого - девятнадцатого подпункта 2.1.5, подпунктов 2.1.6 и 2.1.7 пункта 2.1, пунктов 2.2 - 2.5 настоящего Положения;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

требования пунктов 4.1 - 4.2, подпунктов 4.3.3 и 4.3.4 пункта 4.3, пунктов 4.4 - 4.6 главы 4 настоящего Положения;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

9.2.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения, в дополнение к способам управления операционным риском, указанным в третьем абзаце подпункта 9.2.1 настоящего пункта.

9.3. Кредитная организация (головная кредитная организация банковской группы), которая на начало текущего отчетного года является банком с базовой лицензией (далее - банк с базовой лицензией):

9.3.1. обязана соблюдать:

требования глав 1, 3, 5 - 7 настоящего Положения и приложений 2, 4, 5 к настоящему Положению;

требования абзацев первого - второго подпункта 2.1.1, абзацев первого, третьего - четырнадцатого подпункта 2.1.2 (при этом банк с базовой лицензией с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого, третьего и четвертого подпункта 2.1.4, абзацев первого, четвертого (в части моделирования угроз), девятнадцатого подпункта 2.1.5, абзацев первого - двенадцатого подпункта 2.1.6 (в части соблюдения требований абзацев первого - двенадцатого подпункта 2.1.6 пункта 2.1 настоящего Положения банк с базовой лицензией обеспечивает выбор и применение способа реагирования, в том числе принятие мер, направленных на уменьшение негативного влияния операционного риска, только в части реализовавшихся событий операционного риска с прямыми потерями) пункта 2.1, пунктов 2.2 - 2.5 главы 2 настоящего Положения;

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

требования пунктов 4.1, 4.2, 4.4 - 4.6 главы 4 настоящего Положения;

требования пунктов 8.1 - 8.5, пункта 8.6 (в части выявления риска информационной безопасности), абзацев шестого и седьмого подпункта 8.7.2, абзацев первого, третьего и четвертого подпункта 8.7.3, абзацев первого - восьмого подпункта 8.7.4 пункта 8.7, подпунктов 8.8.1 - 8.8.5, подпунктов 8.8.8 - 8.8.10, подпунктов 8.8.12 - 8.8.13 пункта 8.8 главы 8 настоящего Положения;

требования абзацев второго - восьмого, одиннадцатого подпункта 1.1.1, подпунктов 1.1.2, 1.1.3 и 1.2 пункта 1 приложения 1 к настоящему Положению;

9.3.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.3.1 настоящего пункта.

9.4. Кредитная организация (головная кредитная организация банковской группы), которая на начало текущего отчетного года является небанковской кредитной организацией (далее - НКО), обязана соблюдать:

требования глав 1, 3, 6 настоящего Положения и приложений 4 и 5 к настоящему Положению;

требования абзацев первого и второго подпункта 2.1.1, абзацев первого, третьего - четырнадцатого подпункта 2.1.2 (при этом НКО с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого и второго подпункта 2.1.4, абзацев первого - двенадцатого подпункта 2.1.6 (НКО обеспечивает выбор и применение способа реагирования, в том числе принятие мер, направленных на уменьшение негативного влияния операционного риска, только в части реализовавшихся событий операционного риска с прямыми потерями) пункта 2.1, пунктов 2.2 - 2.5 главы 2 настоящего Положения;

требования подпункта 4.1.4 пункта 4.1, пункта 4.4 главы 4 настоящего Положения;

требования пунктов 7.1 - 7.7, абзацев первого - третьего, пятого - девятого пункта 7.8, подпункта 7.9.1, абзацев первого - четвертого, шестого, восьмого - десятого подпункта 7.9.2 пункта 7.9, пункты 7.10 и 7.11 главы 7 настоящего Положения.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

9.4.1. Порядок осуществления НКО, имеющей право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций (далее - платежная НКО), контроля за уровнем операционного риска при привлечении банковского платежного агента в соответствии со статьей 14 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 27, ст. 3538) должен включать в себя:

порядок сбора и анализа платежной НКО информации о банковском платежном агенте;

порядок распределения полномочий между подразделениями и служащими платежной НКО при привлечении банковского платежного агента;

порядок выявления, оценки, мониторинга платежной НКО операционных рисков, связанных с привлечением банковского платежного агента, а также осуществления платежной НКО мер по достижению и (или) поддержанию их приемлемого уровня;

порядок осуществления платежной НКО контроля за деятельностью банковского платежного агента;

порядок обеспечения платежной НКО переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций в случае несоблюдения банковским платежным агентом условий его привлечения (включая обеспечение возможности использования услуг другого банковского платежного агента или переход на самообслуживание);

порядок составления и периодичность представления в органы управления, определенные внутренними документами платежной НКО, отчета о результатах контроля за уровнем операционного риска при привлечении банковского платежного агента.

9.4.2. НКО вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем настоящего пункта.

 

Глава 10. Заключительные положения

 

10.1. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 20 марта 2020 года N 6) вступает в силу с 1 октября 2020 года.

10.2. Система управления операционным риском подлежит приведению в соответствие с требованиями настоящего Положения кредитными организациями (головными кредитными организациями банковской группы), в срок до 1 января 2022 года.

10.3. Кредитные организации (головные кредитные организации банковской группы) в случае приведения системы управления операционным риском в соответствие с требованиями настоящего Положения ранее 1 января 2022 года, вправе проинформировать об этом Банк России в целях организации Банком России оценки соответствия системы управления операционным риском требованиям настоящего Положения.

10.4. С 1 января 2022 года признать утратившим силу Указание Банка России от 25 июня 2012 года N 2840-У "О требованиях к управлению операционным риском небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций", зарегистрированное Министерством юстиции Российской Федерации 26 июня 2012 года N 24690.

 

Председатель Центрального банка

Российской Федерации

Э.С.НАБИУЛЛИНА