2.1. Кредитная организация (головная кредитная организация банковской группы) с учетом положений пункта 4.1 приложения 1 к Указанию Банка России N 3624-У и главы 9 настоящего Положения устанавливает во внутренних документах следующие процедуры управления операционным риском.
2.1.1. Идентификация операционного риска, включающая следующие способы:
анализ базы событий;
проведение подразделениями кредитной организации (головной кредитной организации банковской группы) ежегодной самооценки уровня операционного риска и форм (способов) контроля, направленных на снижение его уровня, на основе формализованных анкет (далее - самооценка операционного риска) в соответствии с требованиями абзацев шестого, восьмого -тринадцатого подпункта 2.1.5 настоящего пункта;
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска) (далее - КИР), по направлениям деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы) в соответствии с абзацами девятым - двадцатым подпункта 2.1.7 настоящего пункта;
интервью с работниками кредитной организации (головной кредитной организации банковской группы), в том числе с руководством кредитной организации (головной кредитной организации банковской группы), в рамках которых работниками и руководством кредитной организации (головной кредитной организации банковской группы) обсуждаются операционные риски, оказывающие влияние на деятельность кредитной организации (головной кредитной организации банковской группы);
анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации операционного риска;
анализ информации уполномоченного подразделения и внешнего аудита;
анализ информации работников кредитной организации (головной кредитной организации банковской группы), полученной в рамках инициативного информирования работниками кредитной организации (головной кредитной организации банковской группы) службы управления рисками и (или) службы внутреннего аудита;
анализ других внешних и внутренних источников информации и способов выявления рисков.
Кредитная организация (головная кредитная организация банковской группы) использует результаты процедуры идентификации операционного риска для проведения процедур количественной и качественной оценки уровня операционного риска и корректного учета связи идентифицированного операционного риска с событиями операционного риска в базе событий.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 настоящего Положения.
2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:
автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;
неавтоматизированное выявление и сбор информации о событиях операционного риска, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий операционного риска, в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны. Порядок и срок проведения анализа обстоятельств и причин произошедших событий операционного риска определяется кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах;
ввод информации о событиях операционного риска в базу событий по алгоритмизированным правилам, установленным кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах;
классификацию выявленных событий операционного риска в соответствии с главой 3 настоящего Положения;
определение потерь от реализации событий операционного риска в соответствии с подпунктом 2.1.3 настоящего пункта;
регистрацию событий операционного риска в базе событий;
определение стоимости возмещений потерь от реализации событий операционного риска в базе событий;
обновление в соответствии с главой 6 настоящего Положения информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации;
актуализацию источников информации о событиях операционного риска и сведений о центрах компетенций, ответственных за их сбор.
Кредитная организация (головная кредитная организация банковской группы) обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:
центров компетенций;
правил предоставления информации об идентифицированных событиях операционного риска центрами компетенций в подразделение, ответственное за организацию управления операционным риском, не позднее пяти рабочих дней с момента идентификации события операционного риска, за исключением событий операционного риска, загружаемых в базу событий программно-аппаратными средствами на определенную кредитной организацией (головной кредитной организацией банковской группы) отчетную дату в соответствии с порядком, указанным кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах, но не реже одного раза в месяц (предоставление информации об идентифицированных событиях операционного риска дочерней кредитной организацией в головную кредитную организацию банковской группы осуществляется в соответствии с пунктом 6.3 настоящего Положения);
контрольных показателей уровня операционного риска, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению в разрезе центров компетенций (ключевых показателей эффективности по выявлению событий операционного риска в процессах), ответственность за несоблюдение которых возложена на центры компетенций (их руководителей).
2.1.3. Определение потерь и возмещений потерь от реализации событий операционного риска, включающее следующие способы: