ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 25 марта 2022 года N 6103-У
О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
На основании статьи 57_1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" и части первой статьи 11_1-2 Федерального закона от 2 декабря 1990 года N 395-I "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ):
_______________
Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2013, N 27, ст.3438; 2019, N 49, ст.6953.
Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 2013, N 27, ст.3438.
1. Внести в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" следующие изменения:
_______________
Зарегистрировано Минюстом России 3 июня 2020 года, регистрационный N 58577.
1.1. В пункте 1.4:
абзац двенадцатый изложить в следующей редакции:
"риск нарушения способности кредитной организации (головной кредитной организации банковской группы) поддерживать операционную устойчивость кредитной организации (головной кредитной организации банковской группы), включающую обеспечение непрерывности осуществления критически важных процессов и критически важных операций, определенных кредитной организацией в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения (далее - операционная устойчивость), в результате воздействия источников операционного риска, указанных в пункте 3.3 настоящего Положения, а также изменений процессов кредитной организации (головной кредитной организации банковской группы) или действий третьих лиц, включая нарушения операционной надежности, требования к которой установлены Банком России в соответствии со статьей 57_5 Федерального закона N 86-ФЗ (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2021, N 1, ст.53) (далее соответственно - операционная надежность, риск нарушения непрерывности деятельности).";
дополнить абзацем следующего содержания:
"В случае если в кредитной организации (головной кредитной организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.".
1.2. В пункте 2.1:
абзац третий подпункта 2.1.1 после слова "абзацев" дополнить словом "шестого,";
в абзаце втором слово "Положения;" заменить словами: "Положения. Кредитная организация (головная кредитная организация банковской группы) применяет агрегированную оценку уровня операционного риска в случае, если кредитная организация (головная кредитная организация банковской группы) использует методы количественной оценки потерь от реализации операционного риска на основе статистических данных из базы событий с использованием продвинутого подхода, включающего методы, указанные в пункте 4.4 приложения 1 к Указанию Банка России N 3624-У (далее - продвинутый подход);";
абзац четвертый изложить в следующей редакции:
"оценку ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с использованием статистических данных по событиям операционного риска, зарегистрированным в базе событий в этих разрезах (при наличии), в целях определения способов покрытия указанных ожидаемых потерь, в том числе их учета в ценообразовании услуг и тарифов. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска.";
абзац второй после слова "абзацами" дополнить словом "шестым,";
абзац четвертый дополнить словами ", в том числе моделирование угроз, включающее анализ потенциальных источников реализации операционного риска и возможных потерь от них (далее - моделирование угроз), с учетом осуществляемых кредитной организацией процессов и форм (способов) контроля операционного риска";
абзац шестой изложить в следующей редакции:
"Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него перечня критически важных процессов, определенных кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, и перечня процессов, уровень существенности операционного риска у которых по результатам качественных оценок, предшествующих дате проведения качественной оценки уровня операционного риска, был высоким или очень высоким в соответствии с абзацем одиннадцатым настоящего подпункта или не оценивался в течение двух лет, предшествующих дате проведения качественной оценки уровня операционного риска, в отношении которых осуществляется качественная оценка уровня операционного риска, с указанием ответственных и участвующих подразделений кредитной организации (головной кредитной организации банковской группы) (далее - план проведения качественной оценки). Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) утверждает план проведения качественной оценки.";
абзац восьмой изложить в следующей редакции:
"Самооценка операционного риска проводится подразделениями кредитной организации (головной кредитной организации банковской группы) в отношении выполняемых ими процессов в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы) не реже одного раза в год по установленной во внутренних документах методике (в виде анкетирования выделенных для самооценки операционного риска работников подразделений кредитной организации (головной кредитной организации банковской группы) по направлениям деятельности, в том числе в разрезе составляющих их процессов, которые включены в план проведения качественной оценки, с использованием формализованных анкет).";
в абзаце одиннадцатом слово "вероятности" заменить словами "количественной и качественной оценки вероятности реализации";
в абзаце двенадцатом слова "действующих на момент проведения оценки" заменить словами "как действующих на момент проведения оценки, так и рассматриваемых кредитной организацией (головной кредитной организацией банковской группы) к внедрению";
абзац семнадцатый изложить в следующей редакции:
"Кредитная организация (головная кредитная организация банковской группы) определяет в порядке проведения сценарного анализа операционных рисков критерии проведения сценарного анализа операционных рисков в отношении выявленных операционных рисков в ходе качественной оценки уровня операционного риска, проводимой в соответствии с планом проведения качественной оценки, а также в отношении источников операционного риска, которые не реализовались в деятельности кредитной организации (головной кредитной организации банковской группы), по которым уровень существенности операционного риска оценивается как высокий или очень высокий в соответствии с абзацем одиннадцатым настоящего подпункта.";
дополнить абзацами следующего содержания:
"Кредитная организация (головная кредитная организация банковской группы) проводит оценку негативного влияния выявленных сценариев реализации операционных рисков и источников операционного риска на свою деятельность в разрезе направлений деятельности и составляющих их процессов с учетом задействованных при их выполнении других процессов и (или) информационных систем, а также с учетом участия третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) в выполнении процессов кредитной организации (головной кредитной организации банковской группы) (далее - зависимость процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).
Кредитная организация (головная кредитная организация банковской группы) в целях проведения качественной оценки видов операционного риска разрабатывает во внутренних документах методику моделирования угроз реализации вида операционного риска и порядок проведения моделирования угроз, в том числе порядок оценки негативного влияния угроз по шкале качественных оценок, разработанной в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения.";
в абзаце пятом подпункта 2.1.6 слово "совокупных" исключить.
1.3. Подпункт 3.9.9 пункта 3.9 после слова "персоналом" дополнить словами ", корпоративное управление и управление капиталом кредитной организации (головной кредитной организацией банковской группы)".
1.4. Пункт 3.10 дополнить абзацем следующего содержания:
"В случае если кредитной организацией (головной кредитной организацией банковской группы) определено более одного направления деятельности первого уровня в отношении реализовавшегося события операционного риска, кредитная организация (головная кредитная организация банковской группы) указывает в базе событий все направления деятельности первого уровня, в которых реализовалось событие операционного риска, и определяет наиболее значимое направление деятельности первого уровня.".
1.5. В пункте 3.12:
подпункт 3.12.3 изложить в следующей редакции:
"3.12.3. Денежные выплаты клиентам, контрагентам, работникам кредитной организации и другим третьим лицам в целях компенсации им во внесудебном порядке убытков, понесенных ими как в результате действий третьих лиц, так и в результате реализации иных источников операционного риска, в том числе компенсированные кредитной организацией хищения средств клиентов, контрагентов, работников и третьих лиц (с раздельным учетом потерь, которые были компенсированы кредитной организацией, и потерь, которые впоследствии были компенсированы третьими лицами, в том числе страховыми организациями, иностранными страховыми организациями).
Кредитная организация (головная кредитная организация банковской группы) классифицирует вид прямых потерь, указанный в абзаце первом настоящего подпункта, в разрезе работников, а также клиентов, контрагентов и третьих лиц по следующим группам: физические лица, индивидуальные предприниматели, лица, занимающиеся частной практикой, юридические лица.";
в подпункте 3.12.8 слова "или на" заменить словами "и (или)";
подпункт 3.12.9 дополнить словами ", в том числе переоценка стоимости активов в сторону уменьшения и (или) исключения из расчета величины собственных средств (капитала) по предписанию Банка России".
1.6. В пункте 3.13:
абзац третий изложить в следующей редакции:
"нарушение операционной устойчивости кредитной организации (головной кредитной организации банковской группы) в случае, если кредитная организация (головная кредитная организация банковской группы) не определила его в денежном выражении, и (или) приостановку основных и прочих процессов, определяемых кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, в результате события операционного риска, в том числе возникшего в результате сбоев систем и оборудования;";
абзац двенадцатый изложить в следующей редакции:
"Кредитная организация (головная кредитная организация банковской группы) в отношении каждой качественной потери проводит оценку ее значимости в соответствии с установленной во внутренних документах кредитной организации (головной кредитной организации банковской группы) шкалой качественных оценок потерь по четырехуровневой шкале: "очень высокие", "высокие", "средние", "низкие".";
подпункт 3.13.3 дополнить абзацем следующего содержания:
"Кредитная организация (головная кредитная организация банковской группы) классифицирует потери, указанные в абзаце втором настоящего подпункта, в разрезе клиентов и контрагентов по следующим группам: физические лица, индивидуальные предприниматели, лица, занимающиеся частной практикой, юридические лица.".
1.7. В пункте 4.1:
абзац первый после слова "Положения," дополнить словами "в том числе технологических процессов, требующих обеспечения информационного взаимодействия, обработки и хранения информации с помощью информационных систем (далее - технологические процессы),";
в абзаце втором слова "процессы, основные, обеспечивающие" заменить словом ", основные";
абзацы третий и четвертый изложить в следующей редакции:
"К критически важным процессам относятся процессы, которые обеспечивают выполнение операций кредитной организации (головной кредитной организации банковской группы), указанных в пунктах 1-4 и 9 части первой статьи 5 Федерального закона "О банках и банковской деятельности" (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 2011, N 27, ст.3873), ведение бухгалтерского учета, представление отчетности в Банк России в соответствии с Указанием Банка России от 8 октября 2018 года N 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 13 декабря 2018 года N 52992, 13 декабря 2019 года N 56796, 18 июня 2020 года N 58705, 30 сентября 2020 года N 60147, 26 марта 2021 года N 62892, 15 апреля 2021 года N 63150, 11 июня 2021 года N 63866, 14 декабря 2021 года N 66316 (далее - Указание Банка России N 4927-У), поддержание ликвидности, выполнение операций на финансовых рынках, кассовых операций, работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций, соблюдение требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2021, N 27, ст.5159), Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст.3; 2022, N 9, ст.1259), Федерального закона "О банках и банковской деятельности" (далее - критически важные операции), а также другие процессы, которые определены кредитной организацией (головной кредитной организацией банковской группы) и прерывание функционирования которых оказывает влияние на выполнение обязательств перед клиентами и контрагентами кредитной организации (головной кредитной организации банковской группы).
К основным процессам относятся процессы, которые обеспечивают выполнение операций, указанных в пунктах 5-7_3 части первой статьи 5 Федерального закона "О банках и банковской деятельности" (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 2017, N 31, ст.4761), в случае если они не отнесены кредитной организацией (головной кредитной организацией банковской группы) к критически важным процессам, а также процессы, которые обеспечивают выполнение операций и услуг, объем которых формирует величину расходов и (или) доходов кредитной организации (головной кредитной организации банковской группы) более 5 процентов от дохода за отчетный год для целей расчета капитала на покрытие операционного риска, определяемого в соответствии с пунктом 3 Положения Банка России от 3 сентября 2018 года N 652-П "О порядке расчета размера операционного риска", зарегистрированного Министерством юстиции Российской Федерации 19 ноября 2018 года N 52705, 19 декабря 2018 года N 53050, 31 марта 2020 года N 57915 (далее - Положение Банка России N 652-П) (далее - доход за год для целей расчета капитала на покрытие операционного риска), в случае если кредитная организация применяет для целей расчета размера операционного риска Положение Банка России N 652-П, или более 5 процентов от величины бизнес-индикатора кредитной организации (головной кредитной организации банковской группы) на последнюю дату ее расчета, которая определяется в соответствии с пунктом 2.2 Положения Банка России от 7 декабря 2020 года N 744-П "О порядке расчета размера операционного риска ("Базель III") и осуществления Банком России надзора за его соблюдением", зарегистрированного Министерством юстиции Российской Федерации 29 января 2021 года N 62290 (далее - Положение Банка России N 744-П), в случае если кредитная организация применяет для целей расчета размера операционного риска Положение Банка России N 744-П. Кредитная организация (головная кредитная организация банковской группы) проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра основных процессов с учетом пункта 4.6 настоящего Положения.";
абзац первый дополнить словами ", включая случаи фактической реализации риска нарушения непрерывности деятельности кредитной организации (головной кредитной организации банковской группы), в том числе случаи фактического нарушения требований к операционной надежности (далее - событие риска нарушения непрерывности деятельности)";