Детализированная классификация типов событий операционного риска
(с изменениями на 25 марта 2022 года)
Кредитная организация (головная кредитная организация банковской группы) в разрезе основной классификации типов событий операционного риска дополнительно классифицирует события операционного риска по следующим типам событий операционного риска:
1. Тип события операционного риска "преднамеренные действия персонала" включает:
1.1. неразрешенную деятельность, состоящую в преднамеренных действиях персонала, связанную с превышением работниками своих полномочий при проведении или одобрении сделки (осуществлении операций), закрепленных должностными инструкциями, внутренними документами или решениями единоличного или коллегиального исполнительного органа кредитной организации, без цели присвоения, уничтожения, хищения имущества, материальных и (или) нематериальных активов, но в целях получения нематериальной выгоды;
1.2. преднамеренные действия персонала в отношении имущества, материальных и (или) нематериальных активов кредитной организации и средств клиентов с целью их присвоения, уничтожения, хищения в целях получения материальной выгоды, в том числе с использованием коммерческого подкупа (коррупции).
2. Тип события операционного риска "преднамеренные действия третьих лиц" включает:
2.1. преднамеренные действия третьих лиц в отношении имущества, материальных и (или) нематериальных активов кредитной организации и средств клиентов. К данному типу событий операционного риска не относятся события киберриска;
2.2. нарушение безопасности информационных систем, состоящее в преднамеренных действиях третьих лиц в отношении имущества, информации, данных, материальных и (или) нематериальных активов кредитной организации и средств клиентов. К данному типу событий операционного риска относятся все виды кибератак, совершенных третьими лицами с применением объектов информационной инфраструктуры по отношению к информации и данным, содержащимся во внутренних информационных системах кредитной организации (реализация событий киберриска).
3. Тип события операционного риска "нарушение кадровой политики и безопасности труда" включает:
3.1. нарушение трудового законодательства, результатом которого стало наложение на кредитную организацию санкций за нарушение норм трудового законодательства (выплаты работникам или бывшим работникам в виде компенсаций за нарушение условий трудового договора и (или) в связи с санкциями, наложенными исполнительным органом государственной власти, уполномоченным на осуществление федерального государственного надзора за соблюдением трудового законодательства);
3.2. нарушение норм безопасности и охраны труда, в том числе действия (бездействие) должностных лиц, результатом которых стали выплаты компенсаций работникам или бывшим работникам кредитной организации за причинение ущерба здоровью и (или) административных штрафов исполнительным органам государственной власти;
3.3. нарушения прав работников кредитной организации и третьих лиц, связанные с дискриминацией (половая, расовая, национальная дискриминация, а также дискриминация по языку, происхождению, имущественному и должностному положению, месту жительства, отношению к религии, убеждениям, принадлежности к общественным объединениям и возрастному признаку).
4. Тип события операционного риска "нарушение прав клиентов и контрагентов" включает:
4.1. нарушение прав клиентов, состоящее в действиях со стороны кредитной организации, которые привели к несанкционированному раскрытию конфиденциальной информации, нарушению функционирования системы информационного обмена и взаимодействия с клиентом, повлекших выплаты клиентам в связи с нарушением их интересов;
4.2. нарушение обычаев делового оборота и рыночных практик, состоящее в нарушении кредитной организацией законодательства Российской Федерации и других государств, под юрисдикцию которых попадают совершаемые операции, условий договоров на совершение операций, предоставление услуг, внутренних процедур кредитной организации взаимодействия с клиентами и контрагентами;
4.3. недостатки оказания услуг и проведения операций, состоящие в нарушении кредитной организацией интересов и прав клиентов вследствие установленных в кредитной организации правил и стандартов оказания услуг и проведения операций, рекламы кредитной организации, навязывания кредитной организацией сопутствующих услуг. К данному типу событий операционного риска не относятся события, связанные с несовершенством и недостатками внутренних процессов;
4.4. нарушение требований законодательства в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4.5. недостатки в работе с контрагентами, связанные с негативными событиями у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), произошедшими по вине кредитной организации, результатом которых стали претензии контрагентов и выплата им компенсаций.
(Подпункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
5. Тип события операционного риска "ущерб материальным активам", включает события, связанные с природными и прочими внешними факторами, повлекшими досрочное списание (полное или частичное выбытие) материальных активов кредитной организации:
природные факторы, включая стихийные бедствия;
техногенные факторы;
социально-политические факторы;
медико-биологические факторы; вандализм.
6. Тип события операционного риска "нарушение и сбои систем и оборудования" включает:
6.1. сбои в работе информационных систем и программного обеспечения, связанные с нарушением работоспособности технических средств и оборудования, объектов информационной инфраструктуры, программного обеспечения и других элементов информационных систем кредитной организации;