ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 17 сентября 2021 г. N 716-P-2021/36
1. В соответствии с пунктом 6.21 Положения N 716-П кредитная организация самостоятельно устанавливает во внутренних документах перечень должностей работников, ответственных за ведение базы событий (например, в зависимости от характера и масштаба деятельности кредитной организации таким работником может быть назначен руководитель службы управления рисками).
Официальный источник электронного документа содержит неточность: имеется в виду Положения ЦБ РФ от 08.04.2020 N 716-П.
Обращаем внимание, что в соответствии с абзацем седьмым пункта 1.3 Положения N 716-П, в случае если специализированное подразделение (например, служба информационной безопасности) организационно независимо от службы управления рисками кредитной организации, кредитная организация определяет во внутренних документах соблюдение процедур управления операционным риском, обмена информацией, представления отчетности и других элементов взаимодействия между службой управления рисками и специализированным подразделением. Кроме того, в соответствии с пунктом 6.9 Положения N 716-П кредитная организация ведет учет потерь от реализации событий всех видов операционного риска с установлением единого подхода к их идентификации, оценке и классификации в соответствии с требованиями Положения N 716-П, исключающего дублирование и пропуски информации в базе событий.
В случае ведения единой базы событий работниками службы управления рисками, к ответственности которых в соответствии с внутренним порядком ведения базы событий могут быть отнесены регистрация и учет событий информационной безопасности, кредитная организация, в соответствии с абзацем вторым подпункта 7.9.2 пункта 7.9 Положения N 716-П, обеспечивает идентификацию событий риска информационной безопасности службой информационной безопасности и своевременную передачу информации о них в службу управления рисками.
2. В соответствии с абзацем четвертым подпункта 6.7.1 пункта 6.7 Положения N 716-П кредитная организация должна включать в расчет величины валовых потерь сумму прямых потерь, которые вызывают искажения финансовой отчетности, но которые могут быть полностью скорректированы в дальнейшем. Таким образом, любая исправительная проводка, имеющая указанные выше признаки, в соответствии с требованиями Положения N 716-П будет являться событием операционного риска.
3. В соответствии с абзацем семнадцатым пункта 6.6 Положения N 716-П кредитная организация должна отразить в базе событий вид операционного риска, указанный в пункте 1.4 Положения N 716-П, который является причиной реализации события операционного риска. В приведенном в вопросе примере таким видом операционного риска является риск информационных систем.
4. В приведенном в вопросе примере не следует указывать мошенничество как отдельный вид операционного риска, так как данное событие может реализоваться во всех направлениях деятельности кредитной организации и может быть причиной реализации отдельных видов операционного риска, указанных в пункте 1.4 Положения N 716-П. Отмечаем, что управление рисками, связанными с мошенническими действиями клиентов, может осуществляться в рамках системы управления операционным риском в целом. При регистрации в базе событий события операционного риска, связанного с мошенническими действиями клиентов, рекомендуем не указывать отдельный вид операционного риска, при этом тип данного события операционного риска определить как "преднамеренные действия третьих лиц" в соответствии с подпунктом 3.6.2 пункта 3.6 Положения N 716-П.
5. В приведенном в вопросе примере датой выявления события операционного риска следует считать дату, когда кредитной организацией был выявлен факт недостачи (11.12.2020). В соответствии с абзацем четвертым пункта 6.6 Положения N 716-П датой реализации события операционного риска следует считать дату, когда событие произошло или впервые началось. В случае если в результате расследования обстоятельств реализации события операционного риска невозможно определить дату его совершения, допустимо в разделе "Дата реализации" базы событий, определенном в абзаце шестом пункта 6.6 Положения N 716-П, указать значение "Не определена".
Комментарии Банка России по вопросу определения дат учета потерь и возмещений по событию операционного риска размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Об отчетах по управлению операционным риском (часть 3)", вопрос N 1.
6. В приведенном вопросе примере событием операционного риска является сбой информационной системы, повлекший невозможность получения клиентами кредитной организации ее услуг, следствием которого явились жалобы клиентов. Таким образом, в указанной ситуации следует зарегистрировать в базе событий одно событие операционного риска, связанное со сбоем информационной системы. В случае если жалобы клиентов повлекли для кредитной организации какие-либо компенсационные выплаты клиентам, их следует регистрировать в качестве прямых потерь от данного события операционного риска, при этом общее количество жалоб клиентов и общую сумму претензий клиентов, связанных с данным событием операционного риска, рекомендуем учитывать для оценки потенциальных потерь от данного события операционного риска.
7. Бизнес-процессы кредитной организации по кредитованию физических лиц, управление и оценка которых проводятся как на индивидуальной, так и на коллективной основе, следует классифицировать как направление деятельности "розничное банковское обслуживание" в соответствии с подпунктом 3.9.3 пункта 3.9 Положения N 716-П. Бизнес-процессы кредитной организации по кредитованию субъекта малого предпринимательства, управление и оценка которых проводится на индивидуальной основе, следует классифицировать как направление деятельности "коммерческое банковское обслуживание корпоративных клиентов" в соответствии с подпунктом 3.9.4 пункта 3.9 Положения N 716-П. В то же время бизнес-процессы по кредитованию субъекта малого предпринимательства, управление и оценка которых проводятся на портфельной основе с использованием технологий розничного кредитования, следует классифицировать как направление деятельности "розничное банковское обслуживание" в соответствии с подпунктом 3.9.3 пункта 3.9 Положения N 716-П. Кроме того, в целях отнесения процессов кредитования субъекта малого предпринимательства к направлению деятельности "розничное банковское обслуживание" рекомендуем использовать критерии, определенные в пункте 2.6 Положения Банка России от 06.08.2015 N 483-П "О порядке расчета величины кредитного риска на основе внутренних рейтингов".
8. Бизнес-процессы кредитной организации, указанные в вопросе, считаем целесообразным относить к направлению деятельности "обеспечение деятельности кредитной организации" в соответствии с подпунктом 3.9.9 пункта 3.9 Положения N 716-П. Обращаем внимание, что классификация направлений деятельности кредитной организации первого уровня должна соответствовать классификации, приведенной в пункте 3.9 Положения N 716-П, однако кредитная организация вправе в управленческих целях разработать и утвердить во внутренних документах дополнительную классификации направлений деятельности (второго уровня).
9. Статус "оценка потерь от события операционного риска завершена" присваивается событию операционного риска или группе однородных событий операционного риска, объединенных в группу на основании критериев однородности событий операционного риска в соответствии с требованиями пункта 6.12 Положения N 716-П (далее - группа событий), в случае когда кредитная организация полагает, что по данному событию (группе событий) не ожидается не только новых потерь, но и будущих возмещений по ним.
10. В разделе базы событий "Агрегированная сумма косвенных потерь", заполняемом в соответствии с абзацем тридцать шестым пункта 6.6 Положения N 716-П, указывается совокупная величина всех потерь, отражаемых в базе событий в соответствии с абзацем двадцать девятым пункта 6.6 Положения N 716-П, для которых в базе событий в соответствии с абзацем двадцать седьмым пункта 6.6 Положения N 716-П указан вид потерь "косвенные потери".
11. В целях классификации событий операционного риска по направлениям деятельности кредитной организации в соответствии с пунктом 3.10 Положения N 716-П кредитная организация определяет во внутренних документах классификацию направлений деятельности, в том числе в разрезе составляющих их процессов, до второго уровня и далее с учетом осуществляемых операций и (или) действующих процессов кредитной организации. Таким образом, направления деятельности первого уровня, определяемые кредитной организацией во внутренних документах, должны соответствовать классификации, указанной в пункте 3.9 Положения N 716-П, при этом классификацию направлений деятельности второго и последующего уровней кредитная организация вправе определять исходя из характера и масштаба своей деятельности.
12. Виды прямых потерь, указанные в первых абзацах подпунктов 3.12.1 - 3.12.10 пункта 3.12 Положения N 716-П, являются классификацией прямых потерь первого уровня, при этом абзацы второй - десятый подпункта 3.12.1, второй - четвертый подпункта 3.12.5, второй - пятый подпункта 3.12.6 пункта 3.12 Положения N 716-П относятся к классификации прямых потерь второго уровня.
13. Сумма недостачи признается прямой потерей, которую необходимо регистрировать в базе событий, если данная сумма была отражена на счетах расходов/убытков бухгалтерского учета (или на счетах учета дебиторской задолженности как отложенные расходы). Поступившие затем компенсации данной недостачи следует отражать в базе событий как возмещение по данному событию операционного риска. В то же время сумму недостачи следует относить к потенциальным потерям, если данная недостача была предотвращена средствами внутреннего контроля до отражения проводки на счетах бухгалтерского учета. Если дата регистрации события операционного риска в базе событий ранее даты отражения недостачи как прямой потери по нему, то сумму недостачи следует отражать в базе событий как потенциальную потерю, а с даты ее отражения в бухгалтерском учете - как прямую потерю.
Кредитная организация вправе для целей управления операционным риском разработать отдельный подвид ключевых индикаторов операционного риска по событиям операционного риска, которые были предотвращены до закрытия операционного дня, для оценки эффективности последующего контроля и мер, направленных на уменьшение негативного влияния операционного риска.
Положение N 716-П не устанавливает требований к сроку регистрации событий операционного риска в базе событий, в том числе в случаях, если эти события еще не идентифицированы, но могли быть реализованы. Срок устанавливается от даты выявления (идентификации) события, которое в приведенном примере может быть обусловлено датой обработки результатов соответствующей инкассации, фиксирующей отсутствие излишка в данном УС, покрывающего техническую недостачу. В случае когда после обработки результатов инкассации данного УС обнаруживается, что выявленные излишки покрывают техническую недостачу, то прямые потери отсутствуют и кредитная организация вправе, если это установлено во внутренних документах, не регистрировать данное событие в базе событий.
Также обращаем внимание, что в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П кредитная организация определяет во внутренних документах порядок информирования руководителя службы управления рисками и критерии значимости (то есть размера существенности) событий операционного риска, включаемых в ежедневное информирование по операционному риску.
Для цели снижения трудоемкости ведения базы событий, в том числе уменьшения количества записей, кредитная организация вправе группировать отдельные мелкие события операционного риска в группу событий в соответствии с пунктом 6.12 Положения N 716-П по однородным признакам (например, по месту реализации, по одному и тому же работнику или элементу информационной или учетной системы на одной и той же операции/этапе процесса в рамках однородного периода времени реализации (но не более 48 часов)), определив четкие критерии во внутренних документах.
14. В соответствии с подпунктом 3.12.3 пункта 3.12 Положения N 716-П все виды добровольных компенсаций кредитной организацией клиенту его потерь, реализовавшихся в том числе по внутренним источникам реализации события (например, в результате сбоя УС), следует рассматривать как прямую потерю от реализации события операционного риска, в случае если данные выплаты были отражены на счетах расходов/убытков бухгалтерского учета.
Данные события подлежат регистрации в базе событий, при этом выявляемые излишки денег в УС, за счет которых урегулируются данные потери, следует отражать в базе событий как возмещения к данным потерям при условии, что выявленные излишки обнаружены в том же УС, в котором были зарегистрированы сбои, вызвавшие выплаты клиентам компенсаций, "закрываемых" данными излишками.
Дополнительные комментарии Банка России по вопросу определения потерь от реализации событий операционного риска, связанных с выплатой кредитной организацией компенсаций клиентам, контрагентам на добровольной основе, размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О видах риска информационной безопасности", вопрос N 3.
15. В случае если операция списания по картам является стандартной услугой и предусмотрена условиями продукта, а также не связана с реализацией источников операционного риска, указанных в пункте 3.3 Положения N 716-П, то учитывать такие случаи как события операционного риска не следует.
16. В случае если договором оказания услуг эквайринга предусмотрена ежемесячная оплата услуг, данное событие (временной разрыв между оказанием услуги до ее оплаты) не является событием операционного риска.
17. Начисление резервов по прочим потерям и резервов - оценочных обязательств некредитного характера в соответствии с пунктом 6.1 Положения N 611-П по предъявленным претензиям и судебным искам не всегда осуществляется в размере 100% суммы претензии (судебного иска), но в соответствии с профессиональным суждением ответственного подразделения. В случае принятия решения о формировании резерва по предъявленным претензиям и (или) судебным искам данное событие должно регистрироваться в базе событий с указанием величины прямых потерь в размере сформированного резерва. В случае если резерв будет восстановлен после соответствующего решения суда, данную операцию необходимо отразить в базе событий как возмещение прямых потерь.
Официальный источник электронного документа содержит неточность: имеется в виду Положения ЦБ РФ от 23.10.2017 N 611-П.
18. В соответствии с абзацем четвертым пункта 1.4 Положения N 716-П под правовым риском как видом операционного риска понимается риск возникновения у кредитной организации потерь вследствие нарушения кредитной организацией и (или) ее контрагентами условий заключенных договоров, допускаемых кредитной организацией правовых ошибок при осуществлении деятельности, несовершенства правовой системы и т.д. Обращаем внимание, что не любой судебный иск, поданный самой кредитной организаций или ее клиентами и (или) контрагентами по отношению к ней, является событием операционного риска, а может являться предусмотренной бизнес-операцией, например по возврату просроченного долга. Для определения связи данного иска с операционным риском необходимо понимать источник возникновения события, по которому подается иск. Например, если кредитная организация подает в суд на клиента, имеющего просроченную задолженность по кредиту, следует определить причину образования данной задолженности. Если имел факт реализации источника (источников) операционного риска, указанного в пункте 3.3 Положения N 716-П (например, мошеннические действия со стороны клиента при оформлении кредита), то данное событие следует рассматривать как событие операционного риска, связанное с кредитным риском, одной из мер уменьшения потерь по которому может являться обращение кредитной организации в суд для взыскания задолженности. Правовой риск в данном случае отсутствует, но присутствует стандартный операционный риск (в приведенном примере - по типу события "внешнее мошенничество"), и расходы, связанные с судебным рассмотрение данного иска, следует относить к потерям от данного события мошенничества.
В то же время в случае если кредитная организация подала в суд иск как бизнес-операцию взыскания стандартной просроченной задолженности (то есть не образованной в результате события операционного риска), то данное событие не следует рассматривать как событие правового риска и (или) операционного риска. Но, если кредитная организация проиграла такой иск в результате ошибок в судебном процессе (например, неверно составленном исковом требовании, ошибок в представленных документах, неверно выбранной тактики доказывания или соблюдения судебной процедуры и др.), данное событие (проигрыш в суде) является правовым риском и потери по нему (например, уплаченные пошлины, присужденные судом к выплате компенсации и (или) штрафы и т.д.) следует относить к потерям от реализации данного события правового риска как вида операционного риска.
Обращаем также внимание, что, в случае если к кредитной организации подан судебный иск ее клиентом в связи с нарушением его прав вследствие правовых ошибок со стороны кредитной организации (например, кредитный договор составлен с нарушением норм законодательства), данное событие следует также рассматривать как событие правового риска.
В то же время, в случае если причиной образования просроченной задолженности по кредиту не является источник операционного риска, то есть процедура оформления и выдачи кредита была совершена с соблюдением всех установленных правил и процедур, факт образования просроченной задолженности не является событием операционного риска, при этом подача кредитной организацией судебного иска по взысканию данной просроченной задолженности является способом управления кредитным риском.
19. В случае если недостаточность обеспечения при закрытии позиции возникает вследствие реализации источников операционного риска, указанных в пункте 3.3 Положения N 716-П, данное событие должно регистрироваться в базе событий операционного риска. При формировании резерва, связанного с образованием просроченной задолженности, данная потеря должна отражаться в базе событий как прямая потеря, при этом в случае урегулирования задолженности (например, довнесением обеспечения со стороны клиента) сумму восстановления (уменьшения) резерва, связанную с довнесением обеспечения клиентом, следует отразить в базе событий как возмещение по данной потере.
20. Рекомендуем относить возможные потери кредитной организации в виде штрафов, которые могут быть предъявлены к кредитной организации вследствие нарушений с ее стороны по причине ошибок работников, технических сбоев и других источников операционного риска, указанных в пункте 3.3 Положения N 716-П, к потенциальным потерям, указанным в абзаце третьем подпункта 3.13.3 пункта 3.13 Положения N 716-П.
В случае если в соответствии с требованиями главы 9 Положения N 716-П кредитная организация не обязана регистрировать в базе событий потенциальные потери от событий операционного риска, за исключением потенциальных потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 Положения N 716-П, кредитная организация вправе самостоятельно определить необходимость регистрации событий операционного риска с потенциальными потерями исходя из характера и масштаба своей деятельности, уровня операционного риска (например, частоты данных событий), качества процессов и технологий, объема трудоемкости и иных затрат на их регистрацию, в том числе уровня автоматизации процесса выявления и регистрации указанных событий в базе событий. В целях накопления соответствующих данных для анализа вероятности перехода потенциальных потерь в прямые потери рекомендуем кредитной организации регистрировать события операционного риска с потенциальными потерями в базе событий в случае их выявления в рамках текущей деятельности (например, в ходе мероприятий внутреннего контроля или аудиторских проверок).
21. В случае если возникновение дебиторской задолженности связано с реализацией источников операционного риска, указанных в пункте 3.3 Положения N 716-П, данное событие должно регистрироваться в базе событий. При этом текущая дебиторская задолженность регистрируется как событие с потенциальными потерями. В случае формирования резервов по дебиторской задолженности такая задолженность регистрируется как событие с прямыми потерями вне зависимости от того, будет произведено списание задолженности или получено возмещение в будущем.
22. В случае возникновения технического овердрафта по причине реализации источников операционного риска, указанных в пункте 3.3 Положения N 716-П, данное событие является событием операционного риска в независимости от срока получения возврата средств, предоставленных в счет овердрафта. При регистрации события в качестве качественных потерь в соответствии с подпунктом 3.13.2 пункта 3.13 Положения N 716-П указывается возникновение источника кредитного риска.
При формировании резерва по техническому овердрафту, в случае если не удалось урегулировать задолженность с клиентом в срок, установленный внутренними документами и (или) договором, следует отражать данные потери в базе событий как прямые потери. В то же время рекомендуем при урегулировании с клиентом суммы технического овердрафта в период, предусмотренный внутренними документами и (или) договором, относить данные потери к потенциальным потерям.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
23. При поступлении информации о подаче судебного иска к кредитной организации, в случае если данный иск связан с источником операционного риска, указанным в пункте 3.3 Положения N 716-П, рекомендуем рассматривать сам иск и юридические издержки по нему (в том числе госпошлины) как потенциальные потери в соответствии с абзацем третьим подпункта 3.13.3 пункта 3.13 Положения N 716-П.
24. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
25. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
26. В случае если реализация события операционного риска не привела к прямым потерям для кредитной организации, а ее результатом могло стать отражение в бухгалтерском учете дохода кредитной организации, данное событие операционного риска следует рассматривать как событие операционного риска с потенциальными потерями, определяемыми путем моделирования неблагоприятного исхода данного события с определенной вероятностью (сценарное моделирование). Для вышеуказанного события операционного риска рекомендуем в базе событий в разделе "Описание события операционного риска", предусмотренном абзацем тринадцатым пункта 6.6 Положения N 716-П, указать, что в результате реализации данного события операционного риска кредитной организацией была получена прибыль, и в разделе "Обоснование величины потери", предусмотренном абзацем тридцать третьим пункта 6.6 Положения N 716-П, отразить расчет величины данной потенциальной потери в рамках выбранного сценария и вероятности неблагоприятного исхода в соответствии с методикой, утвержденной во внутренних документах кредитной организации.
27. Представленное в вопросе событие является событием операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
28. В случае реализации источников операционного риска, указанных в пункте 3.3 Положения N 716-П, и с учетом требований главы 9 Положения N 716-П данное событие операционного риска следует регистрировать в базе событий как событие операционного риска с потенциальными потерями.
Дополнительные комментарии по отражению в базе событий потенциальных потерь см. в вопросе 20.
29. Представленное в вопросе событие является событием операционного риска, результатом которого стало отражение в бухгалтерском учете дохода кредитной организации.
Дополнительные комментарии по отражению в базе событий операционного риска, результатом реализации которых является прибыль кредитной организации, см. в вопросе 26.
30. Относительно предотвращенных кредитной организацией событий социальной инженерии, не повлекших за собой убытка как для кредитной организации, так и для клиента, сообщаем, что Положение N 716-П не обязывает кредитные организации с учетом требований главы 9 Положения N 716-П регистрировать в базе событий события операционного риска, по которым отсутствуют прямые потери, определяемые в соответствии с пунктом 3.12 Положения N 716-П, и непрямые потери, определяемые в соответствии с пунктом 3.13 Положения N 716-П, при этом кредитная организация для целей соблюдения иных нормативных актов Банка России вправе самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, инцидентов риска информационной безопасности), которые были предотвращены и которые не привели как к прямым, так и непрямым потерям.
31. Относительно событий внешнего мошенничества по отношению к клиентам кредитной организации, в случае если клиент самостоятельно сообщил сведения для возможности кражи его средств и украденные средства не были компенсированы клиенту кредитной организацией, сообщаем, что их следует относить к потенциальным потерям, определяемым в соответствии с абзацем вторым подпункта 3.13.3 пункта 3.13 Положения N 716-П, так как в последующем могут выявиться обстоятельства косвенной вины кредитной организации и предъявления к ней судебных исков о компенсации ущерба. Предположим, кредитная организация реализовала неэффективный процесс онлайн-обслуживания и не предприняла все возможные меры, принятые в рыночной практике, по дополнительным идентификационным проверкам легитимности списания денежных средств со счетов клиента (например, проверки номера оборудования, с которого поступил запрос на списание).
32. В соответствии с подпунктом 3.12.3 пункта 3.12 Положения N 716-П компенсации потерь клиентов из-за действий третьих лиц, выплаченные кредитной организацией во внесудебном порядке, являются прямыми потерями от реализации операционного риска (например, в случае "социальной инженерии") и должны регистрироваться в базе событий безотносительно того, принудительно или по собственной инициативе (доброй воле) кредитная организация осуществила данную компенсацию, с признанием или непризнанием своей вины. Кредитная организация вправе самостоятельно разработать в соответствии с пунктом 3.14 Положения N 716-П последующие уровни классификации потерь, указанных в подпункте 3.12.3 пункта 3.12 Положения N 716-П (например, по видам компенсаций, выплаченных в добровольном порядке или по иным основаниям, с признанием или непризнанием своей вины кредитной организацией), для цели осуществления последующего анализа и контроля за уровнем и суммарной величиной таких выплат (например, путем установления для них соответствующих значений ключевых индикаторов риска в соответствии с абзацами десятым - двадцать первым подпункта 2.1.7 пункта 2.1 Положения N 716-П).
Прощение долга клиенту в случае его добросовестности и отсутствия источников операционного риска в возникновении данного долга не является событием операционного риска, в случае если правила процедуры прощения долга установлены во внутренних документах и соблюдены все условия ее реализации.
33. Представленное в вопросе событие является событием операционного риска с непрямыми потерями (например, в виде простоя).
Правила регистрации в базе событий с непрямыми потерями кредитная организация определяет самостоятельно с учетом требований главы 9 Положения N 716-П.
Для целей соблюдения иных нормативных актов Банка России вправе самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, инцидентов риска информационной безопасности), которые были предотвращены и которые не привели как к прямым, так и к непрямым потерям.