№ 42-8-2/1699 от 27.04.2024 О вопросах по управлению операционным риском в кредитной организации, в том числе представлению и формированию отчетности, определению ответственных подразделений и должностных лиц

N п/п

Содержание вопроса

Комментарий ДНСЗКО

1

2

3

1.

Необходимо ли повторно направлять отчетную форму 0409106 в случае, если после отправки формы в рамках валидации данных вносятся изменения в ранее зарегистрированные события, такие как:

- реклассификация инцидентов операционного риска (изменение вида источника риска, вида события риска, иных существенных признаков события операционного риска, влияющих на формирование отчетной формы);

- объединение отдельных ранее зарегистрированных событий в группу однородных событий в соответствии с п. 6.12 Положения N 716-П?

В случае выявления фактов представления кредитной организацией отчетности по форме 0409106 <2>, содержащей неверные (искаженные) значения показателей (по сравнению с данными, содержащимися в базе событий на день составления отчетности по форме 0409106 <3>, предусмотрено ее повторное представление в Банк России (с уточненными значениями показателей <4>. Иные критерии для ее повторного представления не установлены.

В случае если в текущем отчетном периоде (квартале) были выявлены факты, влияющие на классификацию ранее зарегистрированного в базе событий события операционного риска, информация о котором была ранее направлена в составе отчетности по форме 0409106, и (или) события операционного риска, потери и (или) возмещения по которому были отражены на счетах бухгалтерского учета в прошлом отчетном периоде (квартале) и не содержались в ранее направленной отчетности по форме 0409106, сумма данных потерь и (или) возмещений с обновленными классификационными признаками (при наличии) учитывается в показателе "нарастающим итогом с начала года" отчетности по форме 0409106 на ближайшую отчетную дату, при этом повторное направление в Банк России отчетности по форме 0409106 за прошлые отчетные периоды (кварталы) с актуализированными данными кредитной организацией не предусматривается

2.

Просим подтвердить правильность подхода отражения в базе событий операционного риска нулевой величины потенциальных потерь в случае выявления и регистрации событий ОР в момент реализации прямых потерь. При этом ранее событие в базе не регистрировалось, дополнительных прямых и (или) косвенных потерь по событию не предполагается

Кредитная организация, в соответствии с пунктом 6.6 Положения N 716-П, обеспечивает заполнение группы полей базы событий, содержащей информацию о потерях от реализации события операционного риска по каждому виду потерь и возмещений <5>. В случае отсутствия информации об отдельных видах потерь и (или) возмещений вследствие реализации события операционного риска (отсутствия их возникновения) заполнение соответствующих полей базы событий не требуется

3.

Просим подтвердить правильность подхода заведения длящихся событий с потерями в базе событий операционного риска.

При выявлении события, проявления которого возникают в течение длительного периода времени, данное событие признается длящимся и регистрируется в базе событий при первом его проявлении как единичное родительское событие. Последующие эпизоды, связанные с его реализацией, добавляются в родительское событие как его проявление (влияние) нарастающим итогом.

В отчетности по операционным рискам указанное событие учитывается как 1 событие с его отнесением к тому отчетному периоду, когда данное событие было зарегистрировано в базе событий, а также в первый отчетный период календарного года - в случае, если событие было зарегистрировано ранее текущего календарного года. При этом косвенные и потенциальные потери отражаются по дате регистрации родительского события, прямые - по дате отражения потерь в бухгалтерском учете.

(Пример: из-за ошибки при разработке и изменении ПО у 20 клиентов с января 2023 года каждый месяц некорректно списывается комиссия в размере 500 рублей, которая в последующем не компенсируется банком, ошибка функциональности не устранена.

В отчетности за I кв. 2023 года будет отражено 1 событие с потенциальными потерями 30 тыс. руб.;

в отчетности за II кв. 2023 г. - 0 событий, потенциальные потери - 0;

в отчетности за I полугодие 2023 г. - 1 событие с потенциальными потерями 60 тыс. руб. и т.д.)

Позицию подтверждаем.

Комментарии Банка России по вопросу регистрации событий операционного риска, обусловленных сбоем информационной системы, размещены на официальном сайте Банка России в информационно-телекоммуникационной сети Интернет в следующем разделе:

"Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 4)", вопрос N 6.

В целях формирования отчетов по операционному риску в соответствии с подпунктом 4.2.2 пункта 4.2 Положения N 716-П (далее - внутренние отчеты) прямые потери от реализации событий операционного риска следует учитывать по дате их отражения на счетах бухгалтерского учета, непрямые потери - по дате регистрации события операционного риска в базе событий в соответствии с абзацем тридцатым пункта 6.6 Положения N 716-П <6>. Таким образом, потери, которые были включены во внутренние отчеты в отчетном квартале 2023 года, подлежат отражению при расчете показателей как за отчетный квартал, так и с начала года накопленным итогом

4.

Возможно ли назначение нескольких лиц, замещающих должностное лицо, ответственное за обеспечение функционирования информационных систем (п. 8.3 Положения N 716-П), и должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем (пп. 8.8.9, 8.8.10 Положения N 716-П), на время их отсутствия с разграничением функционала?

В соответствии с абзацем третьим пункта 8.3 и подпунктом 8.8.10 пункта 8.8 Положения N 716-П допускается назначение только одного лица, замещающего должностное лицо, ответственное за обеспечение информационных систем, и одного лица, замещающего должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем

5.

Просим разъяснить, должно ли подразделение, ответственное за организацию аутсорсинга, отличаться от подразделения, ответственного за закупки, и от подразделения, ответственного за организацию управления операционным риском (так как понятия данных подразделений разделены в проекте изменений в Положение N 716-П)

В соответствии с проектируемыми нормами подразделение, ответственное за организацию аутсорсинга, является специализированным подразделением кредитной организации в соответствии с абзацем седьмым пункта 1.3 действующей редакции Положения N 716-П. При этом данное подразделение не должно являться заказчиком аутсорсинга, ответственным (ответственными) за осуществление функций, операций, услуг и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы).

Кредитная организация самостоятельно определяет специализированное подразделение или несколько подразделений, ответственное (ответственных) за управление риском аутсорсинга, и вправе возложить функции по управлению указанным видом операционного риска, например, на подразделение, ответственное за закупки.

В зависимости от характера и масштаба деятельности кредитная организация, в соответствии с требованиями Положения N 716-П, вправе не назначать специализированное подразделение по управлению отдельными видами операционного риска, например риском аутсорсинга. В данном случае в соответствии с абзацем двенадцатым пункта 1.4 Положения N 716-П процедуры управления риском аутсорсинга должны будут выполняться подразделением, ответственным за организацию управления операционным риском, в составе службы управления рисками.

Обращаем внимание, что указанный вопрос касается норм проекта указания <7>, который в настоящее время находится на согласовании в Банке России, в связи с чем вышеуказанные разъяснения носят предварительный характер

6.

Допускается ли при составлении плана мероприятий по проведению качественной оценки уровня операционного риска (п. 2.1.5 Положения N 716-П) не перечислять конкретные процессы, подлежащие оценке, а включать ссылку на утвержденный перечень процессов (п. 4.1.1 Положения N 716-П), в соответствии с которым будут осуществляться мероприятия по оценке?

В соответствии с абзацем шестым подпункта 2.1.5 пункта 2.1 Положения N 716-П подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него перечня критически важных процессов, определенных кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П, и перечня процессов, уровень существенности операционного риска у которых по результатам качественных оценок, предшествующих дате проведения качественной оценки уровня операционного риска, был высоким или очень высоким в соответствии с абзацем одиннадцатым подпункта 2.1.1 пункта 2.1 Положения N 716-П или не оценивался в течение двух лет, предшествующих дате проведения качественной оценки уровня операционного риска, в отношении которых осуществляется качественная оценка уровня операционного риска, с указанием ответственных и участвующих подразделений кредитной организации (головной кредитной организацией банковской группы).

Одновременно сообщаем, что кредитная организация (головная кредитная организация банковской группы) самостоятельно определяет степень (глубину) детализации перечня процессов в зависимости от характера и масштаба совершаемых операций, уровня и сочетания рисков, присущих процессам деятельности кредитной организации (головной кредитной организации банковской группы).

При этом указание в плане проведения качественной оценки уровня операционного риска ссылки на утвержденный перечень процессов допускается в случае, если кредитная организация проводит ее по всем процессам <8>. В таком случае план проведения качественной оценки уровня операционного риска может содержать, например, перечень направлений деятельности с указанием ссылки на утвержденный перечень процессов

7.

Планируется ли развитие требований к системе обеспечения непрерывности и восстановления деятельности (Положение N 242-П), в том числе в рамках уточнения взаимосвязей непрерывности с операционной надежностью (Положение N 787-П)?

Банк России планирует издать методические рекомендации в части управления риском нарушения непрерывности деятельности и обеспечения непрерывности критически важных процессов кредитных организаций. Впоследствии положения указанных методических рекомендаций планируется включить в Положение N 716-П в виде требований