Вопрос: У банков возникают следующие вопросы в отношении составления отчетности по форме 0409106 "Отчет по управлению операционным риском в кредитной организации" с учетом подходов, указанных Банком России в Методических рекомендациях от 20.08.2024 N 13-МР <1>, вступающих в силу в III квартале 2024 г. (с 08.09.2024) <2>.
--------------------------------
<1> Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности (далее - Методические рекомендации).
<2> Согласно п. 2.3 Методических рекомендаций включены дополнительные группы типов операций по переводу денежных средств: "Карты", "Счета физ. лиц", "СБП физ. лиц", "Электронные кошельки", "Без открытия счета", "Счета юр. лиц", "СБП юр. лиц", для которых необходимо считать фактическое значение по формулам приложения 1 и применять предложенные сигнальные и фактические значения приложения 2 к Методическим рекомендациям.
1. Должны ли быть реализованы подходы Методических рекомендаций в отчетности при заполнении формы 0409106 начиная с III квартала 2024 г.?
2. В связи с тем что список направлений деятельности, предусмотренный в п. 3.9 Положения 716-П <3>, остается неизменным, предполагается ли расширение в отчетности по форме 0409106 направлений деятельности?
3. Верно ли понимать, что при заполнении разд. 2 и 3 формы 0409106 следует использовать направление деятельности, определенное в п. 3.9.5 Положения 716-П, вне зависимости от того, что проводятся операции без согласия клиента, указанные в пп. 1.2.1 п. 1 приложения 1 к Положению N 716-П для физических или юридических лиц?
--------------------------------
<3> Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
Ответ: Департамент данных, проектов и процессов Банка России совместно с заинтересованными структурными подразделениями Банка России рассмотрел обращение от 17.09.2024 по порядку составления отчетности по форме 0409106 "Отчет по управлению операционным риском в кредитной организации" (далее - форма 0409106), установленной в приложении 1 к Указанию Банка России от 10.04.2023 N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)", и сообщает следующее.
По вопросу 1
В разделе 3 отчетности по форме 0409106 указываются данные о фактических и целевых значениях контрольных показателей уровня операционного риска и риска информационной безопасности, рассчитанные в соответствии с главой 5 Положения N 716-П <1>. Фактические и целевые значения контрольных показателей уровня риска информационной безопасности, связанные с осуществлением перевода денежных средств без добровольного согласия клиента <2>, рассчитываются с учетом Методических рекомендаций Банка России от 20.08.2024 N 13-МР <3> начиная с III квартала 2024 года.
--------------------------------
<1> Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П).
<2> А именно без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием.
<3> Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности.
По вопросу 2
При составлении отчетности по форме 0409106 используется классификация направлений деятельности в соответствии с пунктом 3.9 Положения N 716-П. В настоящее время внесение изменений в отчетность по форме 0409106 в части расширения классификации направлений деятельности не планируется.
По вопросу 3
При составлении отчетности по форме 0409106, в том числе при отражении данных в разделах 2 и 3, необходимо руководствоваться классификацией направлений деятельности в соответствии с пунктом 3.9 Положения N 716-П.
Заместитель директора Департамента
данных, проектов и процессов
Банка России
Е.С.ВИХАРЕВА
08.10.2024