Вопрос: Ассоциация <1> предлагает рассмотреть и прокомментировать позицию кредитной организации <2> в части фиксации события операционного риска <3>. Несмотря на то что нижеописанная ситуация является скорее исключением из стандартной практики, применяемой банками, позиция Банка России по поднимаемому вопросу представляет интерес для всего банковского сообщества.
--------------------------------
<1> Далее - Ассоциация.
<2> Далее - банк.
<3> Далее также - ОР.
Работу системы дистанционного банковского обслуживания <4> банка обеспечивает IT-организация (связанное с банком лицо <5>), которая по договору, заключенному с банком, несет ответственность, в том числе материальную, в случаях сбоев в работе СДБО.
--------------------------------
<4> Далее - СДБО.
<5> Банк входит в банковский холдинг во главе с IT-организацией.
Сбои могут быть связаны с нарушением непрерывности оказания банковских услуг (невозможность проведения платежей или ошибка входа в СДБО), но в основном - не влияют на непрерывность оказания услуг (ошибка при загрузке платежного документа из 1С; некорректный остаток лимита по переводам в рамках пакета; некорректное уведомление о том, что платеж не проведен).
В случаях сбоев / некорректной работы СДБО выплата денежных средств всем обратившимся клиентам в размере платы за тариф (пакет услуг) производится со счета N 60323 "Расчеты с прочими дебиторами" и в этот же день компенсируется банку в полном объеме IT-организацией. Выплаты клиентам не являются компенсацией их потерь (по сути представляют собой плату за причиненное неудобство). Порядок расчетов зафиксирован в заключенном договоре между банком и IT-организацией: фактически банк оказывает услугу IT-организации по выплате компенсации клиентам.
Принимая во внимание наличие договора между банком и IT-организацией, а также с учетом того, что по договору выплаты клиентам производятся в пределах сумм остатка на расчетном счете IT-организации, правильно ли банк полагает, что выплаты клиентам за сбои / некорректную работу СДБО, произведенные со счета банка N 60323 и компенсированные IT-организацией, не являются прямыми потерями для банка, а обусловлены особенностями действующего бизнес-процесса, в связи с чем не требуется регистрация указанных ситуаций в базе событий ОР при отсутствии иных критериев для регистрации?
Ассоциация считает, что в приведенной кредитной организацией ситуации источник ОР реализуется вне периметра банка, потери у банка отсутствуют, так как договором предусмотрена материальная ответственность непосредственно IT-организации, которая через банк выплачивает клиентам компенсацию за сбои / некорректную работу СДБО.
Кроме того, все расчеты осуществляются в пределах одного рабочего дня, счет IT-организации находится в контуре банка и доступен к оперативному просмотру остатка денежных средств. Фактически договором предусмотрены выплаты в рамках принятого индивидуального решения, которое фиксируется в договоре. Правильно ли понимание, что в связи с этим факты выплат клиентам за причиненные неудобства со стороны IT-организации не следует относить к событиям ОР, требующим регистрации?
Ответ: Департамент надзора за системно значимыми кредитными организациями Банка России рассмотрел письмо от 22.10.2024 о подходах к событиям операционного риска (далее - письмо) и сообщает следующее.
В соответствии с подпунктом 3.12.3 пункта 3.12 Положения N 716-П <1> все виды добровольных компенсаций кредитной организацией клиенту его убытков, реализовавшихся в том числе по причине внутренних или внешних источников операционного риска (например, в результате сбоя информационных систем), следует рассматривать как прямую потерю от реализации события операционного риска, в случае если данные выплаты были отражены на счетах бухгалтерского учета кредитной организации.
--------------------------------
<1> Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П).
Таким образом, события, указанные в письме, возникшие по причине сбоя / некорректной работы системы дистанционного банковского обслуживания, необходимо регистрировать в базе событий с прямыми потерями, указанными в подпункте 3.12.3 пункта 3.12 Положения N 716-П. Компенсацию, полученную от ИТ-компании в соответствии с заключенным договором, следует рассматривать в качестве возмещения в соответствии с абзацем пятым пункта 6.15 Положения N 716-П. При этом обращаем внимание, что, в случае если возмещение получено от компании - участника банковской группы, в соответствии с пунктом 6.17 Положения N 716-П данное возмещение к зачету не допускается.
Директор Департамента
надзора за системно значимыми
кредитными организациями
М.Г.ЛЮБОМУДРОВ
20.11.2024