ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 8 апреля 2020 года N 716-П

О требованиях к системе управления операционным риском в кредитной организации и банковской группе

(с изменениями на 25 марта 2022 года)
(редакция, действуюшая с 1 января 2023 года)

На основании статьи 57_1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2013, N 27, ст.3438; 2019, N 49, ст.6953) (далее - Федеральный закон N 86-ФЗ) и статьи 11_1-2 Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 2013, N 27, ст.3438; 2019, N 49, ст.6953) (далее - Федеральный закон "О банках и банковской деятельности") Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе.

Глава 1. Общие положения

1.1. Кредитная организация и головная кредитная организация банковской группы, за исключением центрального контрагента в значении, установленном в статье 2 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте" (Собрание законодательства Российской Федерации, 2011, N 7, ст.904; 2016, N 1, ст.23; 2017, N 30, ст.4456), и центрального депозитария в значении, установленном в статье 2 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (Собрание законодательства Российской Федерации, 2011, N 50, ст.7356), должны организовать управление операционным риском в соответствии с настоящим Положением.

Понятие "операционный риск" применяется в настоящем Положении в значении, установленном в пункте 4.1 приложения 1 к Указанию Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированному Министерством юстиции Российской Федерации 26 мая 2015 года N 37388,28 декабря 2015 года N 40325, 7 декабря 2017 года N 49156, 5 сентября 2018 года N 52084, 3 июня 2020 года N 58576 (далее - Указание Банка России N 3624-У).

1.2. Кредитная организация (головная кредитная организация банковской группы) выявляет случаи фактической реализации операционного риска (далее - событие операционного риска) в соответствии с главой 2 настоящего Положения, классифицирует события операционного риска в соответствии с главой 3 настоящего Положения и фиксирует события операционного риска в базе событий в соответствии с главой 6 настоящего Положения. Понятие "база событий" применяется в настоящем Положении в значении, установленном в пункте 4.3 приложения 1 к Указанию Банка России N 3624-У.

1.3. Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) включает следующие элементы:

процедуры управления операционным риском в соответствии с главой 2 настоящего Положения;

классификатор событий операционного риска, используемый в системе управления операционным риском, в соответствии с главой 3 настоящего Положения;

базу событий;

контрольные показатели уровня операционного риска в соответствии с главой 5 настоящего Положения;

подразделение кредитной организации (головной кредитной организации банковской группы), ответственное за организацию управления операционным риском, структурно входящее в службу управления рисками кредитной организации (головной кредитной организации банковской группы) (далее - подразделение, ответственное за организацию управления операционным риском);

специализированные подразделения кредитной организации (головной кредитной организации банковской группы, участников банковской группы (в последних при наличии), которые в рамках функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 настоящего Положения, в части отдельных видов операционного риска, определенных в пункте 1.4 настоящего Положения (далее - специализированное подразделение). В случае если специализированные подразделения организационно независимы от службы управления рисками кредитной организации (головной кредитной организации банковской группы), кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок координации руководителем подразделения, ответственного за организацию управления операционным риском, деятельности работников таких специализированных подразделений, связанной с управлением операционным риском, в части соблюдения процедур управления операционным риском, обмена информации, предоставления отчетности и других элементов взаимодействия;

подразделения кредитной организации (головной кредитной организации банковской группы), осуществляющие в рамках системы управления операционным риском идентификацию операционного риска, сбор информации и информирование о выявленном операционном риске как подразделения, ответственного за организацию управления операционным риском, так и подразделения, в котором выявлен операционный риск (в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы) в случае, если операционный риск выявлен в деятельности другого подразделения кредитной организации (головной кредитной организации банковской группы), оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах (далее - центры компетенций). К центрам компетенций в рамках системы управления операционным риском относятся подразделения кредитной организации (головной кредитной организации банковской группы), в функциональные обязанности которых входит осуществление операций и сделок в рамках своих процессов и которые несут ответственность за результаты выполнения процесса и за достижение целевых показателей процесса (далее - подразделения, ответственные за осуществление операций и сделок и за результаты процесса), и подразделения, обеспечивающие процессы кредитной организации (головной кредитной организации банковской группы);

подразделение кредитной организации (головной кредитной организации банковской группы), структурно независимое от службы управления рисками (например, служба внутреннего аудита), уполномоченное проводить ежегодную оценку эффективности функционирования системы управления операционным риском, в том числе оценку эффективности выполнения принятых в кредитной организации (головной кредитной организации банковской группы) процедур управления операционным риском, в соответствии с пунктом 4.4 настоящего Положения (далее - уполномоченное подразделение);

автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами кредитной организации (головной кредитной организации банковской группы), обеспечивающую функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий), в том числе сохранность данных и их защиту от искажений;

дополнительные элементы системы управления операционным риском, определенные в соответствии с главой 4 настоящего Положения.

1.4. Кредитная организация (головная кредитная организация банковской группы) для целей унификации управления операционным риском выделяет следующие виды операционного риска, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском:

риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации (далее - риск информационной безопасности);

риск отказов и (или) нарушения функционирования применяемых кредитной организацией информационных систем и (или) несоответствия их функциональных возможностей и характеристик потребностям кредитной организации (далее - риск информационных систем);

правовой риск в значении, установленном в пункте 3.3 Указания Банка России N 3624-У;

риск ошибок в управлении проектами, состоящий в недостатках и нарушениях организации процессов управления проектной деятельностью, направленных на изменение систем функционирования и поддержания работоспособности кредитной организации;

риск ошибок в управленческих процессах, состоящий в недостатках и нарушениях внутренних процессов кредитной организации, недостатках принятия решений по банковским сделкам и операциям, внутрихозяйственной деятельности;

риск ошибок в процессах осуществления внутреннего контроля, состоящий в недостатках и нарушениях системы внутреннего контроля, в том числе нарушениях правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, нарушениях внутренних правил совершения операций и сделок;

модельный риск в значении, установленном в пункте 4.2 приложения 1 к Указанию Банка России N 3624-У;

риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг;

риск ошибок процесса управления персоналом, состоящий в недостатках и нарушениях внутренних процессов кредитной организации в управлении персоналом, в том числе при подборе, найме, адаптации, увольнении, обеспечении безопасности и охраны труда, социальной поддержки, в системе вознаграждения и компенсации;

операционный риск платежной системы в значении, установленном в абзаце третьем пункта 1 приложения 2 к Положению Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", зарегистрированному Министерством юстиции Российской Федерации 22 декабря 2017 года N 49386 (далее - Положение Банка России N 607-П);

риск нарушения способности кредитной организации (головной кредитной организации банковской группы) поддерживать операционную устойчивость кредитной организации (головной кредитной организации банковской группы), включающую обеспечение непрерывности осуществления критически важных процессов и критически важных операций, определенных кредитной организацией в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения (далее - операционная устойчивость), в результате воздействия источников операционного риска, указанных в пункте 3.3 настоящего Положения, а также изменений процессов кредитной организации (головной кредитной организации банковской группы) или действий третьих лиц, включая нарушения операционной надежности, требования к которой установлены Банком России в соответствии со статьей 57_5 Федерального закона N 86-ФЗ (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2021, N 1, ст.53) (далее соответственно - операционная надежность, риск нарушения непрерывности деятельности).

(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)     

В случае если в кредитной организации (головной кредитной организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.

(Абзац дополнительно включен с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У)

1.5. Кредитная организация (головная кредитная организация банковской группы) утверждает процедуры управления операционным риском в соответствии с пунктом 2.4 Указания Банка России N 3624-У. Единоличный и коллегиальный исполнительные органы кредитной организации (головной кредитной организации банковской группы) обеспечивают их исполнение в соответствии с требованиями главы 2 настоящего Положения. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований настоящего Положения.

Глава 2. Процедуры управления операционным риском

2.1. Кредитная организация (головная кредитная организация банковской группы) с учетом положений пункта 4.1 приложения 1 к Указанию Банка России N 3624-У и главы 9 настоящего Положения устанавливает во внутренних документах следующие процедуры управления операционным риском.

2.1.1. Идентификация операционного риска, включающая следующие способы:

анализ базы событий;

проведение подразделениями кредитной организации (головной кредитной организации банковской группы) ежегодной самооценки уровня операционного риска и форм (способов) контроля, направленных на снижение его уровня, на основе формализованных анкет (далее - самооценка операционного риска) в соответствии с требованиями абзацев шестого, восьмого -тринадцатого подпункта 2.1.5 настоящего пункта;

(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)     

анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска) (далее - КИР), по направлениям деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы) в соответствии с абзацами девятым - двадцатым подпункта 2.1.7 настоящего пункта;

интервью с работниками кредитной организации (головной кредитной организации банковской группы), в том числе с руководством кредитной организации (головной кредитной организации банковской группы), в рамках которых работниками и руководством кредитной организации (головной кредитной организации банковской группы) обсуждаются операционные риски, оказывающие влияние на деятельность кредитной организации (головной кредитной организации банковской группы);

анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации операционного риска;

анализ информации уполномоченного подразделения и внешнего аудита;

анализ информации работников кредитной организации (головной кредитной организации банковской группы), полученной в рамках инициативного информирования работниками кредитной организации (головной кредитной организации банковской группы) службы управления рисками и (или) службы внутреннего аудита;

анализ других внешних и внутренних источников информации и способов выявления рисков.

Кредитная организация (головная кредитная организация банковской группы) использует результаты процедуры идентификации операционного риска для проведения процедур количественной и качественной оценки уровня операционного риска и корректного учета связи идентифицированного операционного риска с событиями операционного риска в базе событий.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 настоящего Положения.

2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:

автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;

неавтоматизированное выявление и сбор информации о событиях операционного риска, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий операционного риска, в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны. Порядок и срок проведения анализа обстоятельств и причин произошедших событий операционного риска определяется кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах;

ввод информации о событиях операционного риска в базу событий по алгоритмизированным правилам, установленным кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах;

классификацию выявленных событий операционного риска в соответствии с главой 3 настоящего Положения;

определение потерь от реализации событий операционного риска в соответствии с подпунктом 2.1.3 настоящего пункта;

регистрацию событий операционного риска в базе событий;

определение стоимости возмещений потерь от реализации событий операционного риска в базе событий;

обновление в соответствии с главой 6 настоящего Положения информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации;

актуализацию источников информации о событиях операционного риска и сведений о центрах компетенций, ответственных за их сбор.

Кредитная организация (головная кредитная организация банковской группы) обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:

центров компетенций;

правил предоставления информации об идентифицированных событиях операционного риска центрами компетенций в подразделение, ответственное за организацию управления операционным риском, не позднее пяти рабочих дней с момента идентификации события операционного риска, за исключением событий операционного риска, загружаемых в базу событий программно-аппаратными средствами на определенную кредитной организацией (головной кредитной организацией банковской группы) отчетную дату в соответствии с порядком, указанным кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах, но не реже одного раза в месяц (предоставление информации об идентифицированных событиях операционного риска дочерней кредитной организацией в головную кредитную организацию банковской группы осуществляется в соответствии с пунктом 6.3 настоящего Положения);

контрольных показателей уровня операционного риска, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению в разрезе центров компетенций (ключевых показателей эффективности по выявлению событий операционного риска в процессах), ответственность за несоблюдение которых возложена на центры компетенций (их руководителей).

2.1.3. Определение потерь и возмещений потерь от реализации событий операционного риска, включающее следующие способы:

учет потерь кредитной организации (головной кредитной организации банковской группы), указанных в пункте 3.11 настоящего Положения, включая установление сроков выявления и правил отражения в бухгалтерском учете, с учетом пунктов 6.7-6.19 настоящего Положения;