3.1. Кредитная организация (головная кредитная организация банковской группы) классифицирует все события операционного риска в разрезе следующих элементов: источников операционного риска, типов событий операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов, и видов потерь от реализации операционного риска.
3.2. Кредитная организация (головная кредитная организация банковской группы) для всех видов операционного риска определяет во внутренних документах единый классификатор событий операционного риска в разрезе элементов, перечисленных в пункте 3.1 настоящего Положения. Единый классификатор событий операционного риска должен обновляться кредитной организацией (головной кредитной организацией банковской группы) с учетом изменений осуществляемых операций и (или) действующих процессов кредитной организации (головной кредитной организации банковской группы).
3.3. Источники операционного риска классифицируются кредитной организацией (головной кредитной организацией банковской группы) на следующие категории.
3.3.1. К первой категории относятся недостатки процессов, в том числе ненадежная и (или) неэффективная организация внутренних процессов управления в кредитной организации и совершения банковских и других операций, а также несоответствие указанных процессов деятельности кредитной организации и (или) требованиям законодательства Российской Федерации (далее - недостатки процессов);
3.3.2. Ко второй категории относятся недостатки, связанные с действиями персонала кредитной организации (непреднамеренные ошибки, умышленные действия или бездействие) и других связанных с кредитной организацией лиц, включая собственников, а также лиц, связанных с кредитной организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица кредитной организации в соответствии со статьей 64_1 Федерального закона N 86-ФЗ (Собрание законодательства Российской Федерации, 2002, N 28, ст.2780; 2013, N 27, ст.3438; 2017, N 18, ст.2669) (далее - действия персонала и других связанных с кредитной организацией лиц);
3.3.3. К третьей категории относятся отказы и (или) нарушения функционирования применяемых кредитной организацией информационных, технологических и других систем, оборудования и (или) несоответствие их функциональных возможностей и характеристик потребностям кредитной организации (далее - сбои систем и оборудования);
3.3.4. К четвертой категории относится воздействие внешних причин, включая действия третьих лиц, в том числе действия суда и исполнительных органов государственной власти, Банка России, других организаций, а также другие воздействия внешнего характера (далее - внешние причины).
3.4. Кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет последующие уровни классификации источников событий операционного риска.
3.5. У одного и того же события операционного риска может быть один источник или несколько источников операционного риска. В случае если кредитной организацией (головной кредитной организацией банковской группы) определено более одного источника операционного риска, в отношении реализовавшегося события операционного риска в базе событий кредитная организация (головная кредитная организация банковской группы) указывает все выявленные источники события операционного риска и определяет наиболее значимый источник операционного риска.
3.6. Классификация типов событий операционного риска осуществляется кредитной организацией (головной кредитной организацией банковской группы) следующим образом:
3.6.1. совершение работниками кредитной организации и другими связанными с кредитной организацией лицами, включая собственников, а также физическими лицами, связанными с кредитной организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица кредитной организации, преднамеренных действий или преднамеренное бездействие указанных лиц, направленные на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу кредитной организации и (или) средствам клиентов, нарушение процессов, препятствующие достижению целей кредитной организации, в том числе умышленное несоблюдение нормативных актов или внутренних документов кредитной организации в целях извлечения материальной и нематериальной выгоды (далее - преднамеренные действия персонала);
3.6.2. совершение третьими лицами преднамеренных действий, направленных на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу кредитной организации и (или) средствам клиентов (за исключением вандализма), нарушение процессов и ухудшение работы систем, препятствующих достижению стратегии развития кредитной организации или нарушающих законодательство Российской Федерации, в том числе приобретение прав на имущество кредитной организации обманным путем (далее - преднамеренные действия третьих лиц);
3.6.3. нарушение со стороны кредитной организации трудового законодательства, кадровой политики, условий труда и безопасности, требований по охране труда или охране здоровья, связанных с выплатами работникам кредитной организации по исковым требованиям (в том числе по искам о возмещении морального и материального вреда или искам в связи с дискриминацией), а также вследствие прекращения трудовых отношений (далее - нарушение кадровой политики и безопасности труда);
3.6.4. нарушение со стороны кредитной организации прав клиентов и контрагентов, включая нанесение им ущерба, при оказании им услуг и совершении операций, включая нарушение условий договоров и сохранности конфиденциальной информации, ставшей доступной кредитной организации в процессе взаимодействия с клиентами и контрагентами по операциям и сделкам при оказании услуг, предоставлении банковских услуг с условием приобретения клиентом сопутствующих услуг кредитной организации или третьих лиц и нарушение законодательства в сфере защиты прав потребителей, а также антимонопольного законодательства (далее - нарушение прав клиентов и контрагентов);
3.6.5. ущерб материальным активам кредитной организации вследствие снижения стоимости имущества, потери свойств материальных активов кредитной организации в результате стихийных бедствий, техногенных катастроф, эпидемий, беспорядков, вандализма и военных действий (далее - ущерб материальным активам);
3.6.6. нарушение и сбои систем и оборудования, обеспечивающих функционирование деятельности кредитной организации (далее - нарушение и сбои систем и оборудования);
3.6.7. нарушение организации, исполнения и управления процессами кредитной организации, включая ошибки при обработке операций, недостатки обеспечения функционирования процессов, недостатки систем управления рисками, внутреннего контроля, учета и отчетности, системы обеспечения информационной безопасности, недостатки внутренних процедур противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, недостатки в процессах взаимоотношений с торговыми контрагентами и поставщиками, за исключением действий, перечисленных в подпункте 3.6.1 настоящего пункта (далее - нарушение организации, исполнения и управления процессами).
3.7. Для отдельных видов операционного риска в целях классификации событий операционного риска в базе событий кредитной организацией (головной кредитной организацией банковской группы) применяются дополнительные типы событий операционного риска в разрезе классификации типов событий в соответствии с пунктом 3.6 настоящего Положения.
3.8. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах детализированную классификацию типов событий операционного риска в соответствии с приложением 4 к настоящему Положению, а также вправе определить более детализированную классификацию типов событий операционного риска с учетом осуществляемых операций и (или) действующих процессов кредитной организации (головной кредитной организации банковской группы).
3.9. События операционного риска классифицируются кредитной организацией (головной кредитной организации банковской группы) по основным направлениям деятельности первого уровня следующим образом:
3.9.1. оказание услуг юридическим лицам, органам государственной власти и местного самоуправления по организации доступа к рынкам капитала, оптимизации структуры активов и повышению качества корпоративного управления, слияниям и поглощениям, оказанию консультационных услуг финансового посредничества, в том числе при организации синдицированного кредитования (корпоративное финансирование);
3.9.2. осуществление операций и сделок с финансовыми инструментами торгового портфеля (операции и сделки на финансовом рынке);
3.9.3. оказание банковских услуг розничным клиентам, кроме брокерских и депозитарных услуг (розничное банковское обслуживание);
3.9.4. оказание юридическим лицам банковских услуг, за исключением основного направления деятельности первого уровня, указанного в подпункте 3.9.1 настоящего пункта (коммерческое банковское обслуживание корпоративных клиентов);
3.9.5. осуществление переводов денежных средств, платежей и расчетов через платежные системы, в том числе платежную систему Банка России, в которых кредитная организация выступает как оператор по переводу денежных средств, в том числе платежей по собственным операциям, за исключением внутрибанковских операций по организации услуг по проведению платежей, расчетов и взаимодействия с клиентом в рамках предоставления банковских услуг, относящихся к основным направлениям деятельности первого уровня, указанным в подпунктах 3.9.3, 3.9.4, 3.9.6-3.9.8 настоящего пункта (осуществление переводов денежных средств, платежей и расчетов через платежные системы);
3.9.6. оказание агентских и депозитарных услуг, в том числе услуг по хранению сертификатов ценных бумаг и (или) их учету, обеспечению сохранности активов и документов клиентов (агентские и депозитарные услуги);
3.9.7. управление активами клиентов по договорам доверительного управления (управление активами);
3.9.8. брокерское обслуживание розничных клиентов (розничное брокерское обслуживание);