2.1. В соответствии с частью 2_2 статьи 10 Федерального закона "О кредитных историях" бюро обязано организовать систему управления рисками бюро, связанными с осуществляемой им деятельностью по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, предусматривающую совокупность действий органов управления бюро и сотрудников бюро по разработке и реализации стратегии управления рисками бюро, включающей принятие бюро организационно-технических мер по идентификации рисков, присущих деятельности бюро, их анализу и оценке, определению приемлемого сочетания и уровня принимаемых рисков, а также мер по поддержанию рисков на приемлемом уровне, мониторингу и контролю процессов управления рисками (далее соответственно - стратегия управления рисками, система управления рисками).
2.2. В рамках разработки и реализации стратегии управления рисками органы управления бюро должны обеспечивать соответствие действий, которые бюро планирует осуществить для достижения поставленных целей, финансовых (бюджетных) планов или бизнес-планов бюро, организационной структуры бюро, штатной численности бюро и размера собственных средств квалифицированного бюро характеру и масштабу его деятельности, уровню и сочетанию рисков, присущих деятельности бюро.
2.3. В целях организации системы управления рисками совет директоров (наблюдательный совет) бюро, а при его отсутствии - общее собрание акционеров (участников) бюро утверждает и осуществляет контроль за реализацией мероприятий в рамках организации системы управления рисками, в том числе утверждает стратегию управления рисками, содержащую основные принципы выявления (подходы к выявлению) рисков, организации процесса управления рисками, измерения и оценки рисков, и при необходимости иные внутренние документы в отношении системы управления рисками. По решению бюро стратегия управления рисками может содержаться в одном или нескольких внутренних документах бюро.
Стратегия управления рисками должна пересматриваться бюро не реже одного раза в год.
2.4. Ответственным за организацию системы управления рисками и за соответствие деятельности бюро стратегии управления рисками должно быть определено лицо, осуществляющее функции единоличного исполнительного органа бюро.
2.5. Система управления рисками должна позволять бюро идентифицировать все риски, присущие его деятельности, включая следующие виды рисков, но не ограничиваясь ими:
риск возникновения расходов (убытков) бюро вследствие неисполнения, несвоевременного либо неполного исполнения контрагентом финансовых обязательств перед бюро в соответствии с условиями заключаемого бюро договора об оказании информационных услуг или договора о размещении временно свободных средств бюро;
риск возникновения расходов (убытков) бюро вследствие несовершенства или ошибочности внутренних процессов бюро, действий или бездействия работников бюро, несоразмерности (недостаточности) функциональных возможностей применяемых бюро информационных, технологических и других систем объемам оказываемых бюро услуг и (или) отказов (нарушений функционирования) указанных систем, а также в результате воздействия внешних событий или неправомерных действий третьих лиц (далее - операционный риск). Система управления рисками должна позволять бюро в составе операционного риска идентифицировать риск информационной безопасности, связанный с утечками информации;
риск возникновения расходов (убытков) бюро в результате ухудшения способности бюро поддерживать существующие и устанавливать новые деловые отношения и поддерживать на постоянной основе доступ к финансовым ресурсам вследствие формирования негативного представления о бюро со стороны клиентов, контрагентов, акционеров (участников), инвесторов, надзорных органов;
регуляторный риск.
2.6. В рамках организации системы управления рисками бюро должно:
2.6.1. организовать ведение аналитической базы событий операционного риска и риска информационной безопасности (далее - БС) в целях их регистрации в соответствии с порядком ведения БС, определенном в стратегии управления рисками. В целях регистрации событий риска информационной безопасности допускается ведение бюро отдельной базы событий риска информационной безопасности. В случае если бюро ведет отдельную базу событий риска информационной безопасности должна обеспечиваться согласованность указанной базы с базой событий операционного риска;
2.6.2. организовать процесс идентификации риска, позволяющий составлять перечень и описание элементов риска (определение риск-факторов, риск-событий, в том числе и риска информационной безопасности путем анализа БС, их последствий, возможности наступления указанных последствий, а также отнесение риска к определенному виду), которому может быть подвержено бюро;
2.6.3. организовать процесс анализа рисков, который должен включать в себя процесс изучения природы и характера рисков и определения их уровня;
2.6.4. организовать процесс оценки рисков, позволяющий определить приемлемость риска, выявленного в ходе процесса анализа риска;
2.6.5. предусмотреть утверждение методов оценки рисков в рамках стратегии управления рисками;
2.6.6. организовать процесс воздействия на риски, который должен включать:
определение необходимости воздействия на риск;
определение и оценку мер воздействия на риск;
определение приемлемости уровня риска после воздействия на риск (далее - остаточный риск), а также определение и оценку новых мер воздействия на риск, если уровень остаточного риска неприемлем;
2.6.7. документально фиксировать факты возникновения рисков, риск-событий и факты воздействия на них, а также обеспечить хранение информации об указанных фактах в течение не менее трех лет со дня их возникновения;
2.6.8. организовать мониторинг рисков, который должен включать в себя процесс наблюдения за рисками бюро, в том числе за их соответствием допустимому (приемлемому) уровню, внедрением мер реагирования на риски и контрольных процедур, эффективностью данных мер и процедур, а также анализа внешней среды;
2.6.9. организовать мониторинг и контроль процессов управления рисками, которые должны распространяться на все процессы управления рисками и обеспечивать проверку:
предположений, на которых основана оценка риска;
соответствия результатов оценки риска фактической информации о риске;
соответствия применения методов оценки риска принципам стратегии управления рисками;
эффективности процесса воздействия бюро на риск;
2.6.10. организовать осуществление мероприятий по восстановлению непрерывности деятельности бюро в объемах и сроки, которые предусмотрены планом обеспечения непрерывности деятельности бюро (далее - План ОНД), требования к содержанию, порядок и сроки представления которого бюро в Банк России установлены главами 3 и 4 настоящего Положения соответственно;