Вопрос: О формировании кредитными организациями внутренних документов по управлению операционным риском.
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
РАЗЪЯСНЕНИЯ
от 30 сентября 2021 г. N 716-P-2021/42
Обращаем внимание, что Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П) содержит требования к отражению во внутренних документах кредитной организации правил проведения определенных процедур и описания и порядка функционирования элементов системы управления операционным риском в кредитной организации. Рекомендуемый перечень внутренних документов, разрабатываемых в соответствии с Положением N 716-П, приведен в приложении 1 к настоящему разъяснению (далее - перечень внутренних документов).
Рекомендуем кредитным организациям разрабатывать внутренние документы в соответствии с вышеуказанным перечнем с учетом положений главы 9 Положения N 716-П. В случае применения кредитной организацией в своей системе управления операционным риском (далее - СУОР) процедур и элементов, которые не являются для нее обязательными в соответствии с требованиями главы 9 Положения N 716-П, кредитной организации следует соблюдать требования к регламентации данных процедур и элементов СУОР согласно соответствующим нормам Положения N 716-П.
В связи с тем что в перечне внутренних документов используются типовые условные наименования внутренних документов, кредитная организация вправе объединить несколько документов из вышеуказанного перечня в один, а также изменять вид и (или) наименование документа в зависимости от особенностей своей внутренней методологии.
РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ ВНУТРЕННИХ ДОКУМЕНТОВ КРЕДИТНОЙ ОРГАНИЗАЦИИ ПО УПРАВЛЕНИЮ ОПЕРАЦИОННЫМ РИСКОМ
Условное наименование внутреннего документа | Детализация содержания внутреннего документа | Норма Положения N 716-П | |
1 | 2 | 3 | 4 |
Внутренние документы по управлению операционным риском | |||
1. | Политика управления операционным риском | подпункт 4.1.2 пункта 4.1 Положения N 716-П | |
1.1 | структура и организация СУОР | полномочия и функции совета директоров (наблюдательного совета), коллегиального исполнительного органа в области управления операционным риском, в том числе порядок организации их работы по рассмотрению вопросов и отчетов, связанных с организацией системы управления операционным риском, а также рассмотрение результатов их решений | подпункт 4.2.3 пункта 4.2, пункты 5.2 и 5.4 Положения N 716-П |
полномочия и функции подразделения, ответственного за организацию управления операционным риском, специализированных подразделений, центров компетенций, в том числе подразделений, ответственных за осуществление операций и сделок и за результаты процесса, подразделений - участников процессов | пункт 2.2 Положения N 716-П, подпункт 4.1.3 пункта 4.1 Положения N 716-П | ||
уполномоченное подразделение, его функции и обязанности в рамках системы управления операционным риском | подпункт 4.1.4 пункта 4.1, пункт 4.4 Положения N 716-П | ||
перечень специализированных подразделений по управлению отдельными видами операционного риска с определением их функций, задач и областей ответственности в рамках системы управления операционным риском | абзац первый подпункта 4.1.3 пункта 4.1 Положения N 716-П | ||
перечень центров компетенций кредитной организации с определением их функций, задач и областей ответственности в рамках системы управления операционным риском | абзац восьмой пункта 1.3 Положения N 716-П | ||
порядок взаимодействия подразделения, ответственного за организацию управления операционным риском, со специализированными подразделениями в части соблюдения процедур управления операционным риском, обмена информации, представления отчетности и других элементов взаимодействия | абзац седьмой пункта 1.3 Положения N 716-П | ||
правила привлечения для оценки эффективности функционирования системы управления операционным риском внешних экспертов | подпункт 4.1.4 пункта 4.1 Положения N 716-П | ||
порядок координации руководителем подразделения, ответственного за организацию управления операционным риском, деятельности работников специализированных подразделений, связанной с управлением операционным риском, в части соблюдения процедур управления операционным риском, обмена информации, представления отчетности и других элементов взаимодействия | пункт 1.3 Положения N 716-П | ||
1.2 | порядок утверждения контрольных показателей операционного риска (далее - КПУР) | порядок утверждения и периодичность пересмотра КПУР | пункт 5.2 Положения N 716-П |
1.3 | порядок составления отчетов по управлению операционным риском, в том числе риском информационной безопасности | порядок составления отчетов по управлению операционным риском (рекомендованная форма представлена в разъяснениях), в том числе организация взаимодействия между подразделениями кредитной организации, участвующими в подготовке отчетов, со сроками предоставления информации | пункт 4.2 Положения N 716-П; отчетность по форме 0409106 Указания Банка России N 4927-У |
порядок информирования руководителя службы управления рисками и критерии значимости событий операционного риска, включаемых в ежедневное информирование по операционному риску (рекомендованная форма представлена в разъяснениях по формированию отчетов по управлению операционным риском) | подпункт 4.2.1 пункта 4.2 Положения N 716-П | ||
порядок представления на рассмотрение совета директоров (наблюдательного совета) отчета об управлении операционным риском за год | подпункт 4.2.3 пункта 4.2 Положения N 716-П | ||
сроки рассмотрения отчетов коллегиальным исполнительным органом | подпункт 4.2.5 пункта 4.2 Положения N 716-П | ||
1.4 | способы мотивации работников к участию в управлении операционным риском | способы мотивации работников кредитной организации к участию в управлении операционным риском с учетом принятых в кредитной организации внутренних документов в части исполнения Инструкции Банка России N 154-И "О порядке оценки системы оплаты труда в кредитной организации и порядке направления в кредитную организацию предписания об устранении нарушения в ее системе оплаты труда" | подпункт 4.1.6 пункта 4.1 Положения N 716-П |
2. | Порядок проведения процедуры идентификации операционного риска | Способы идентификации операционного риска | подпункт 2.1.1 пункта 2.1 Положения N 716-П |
Порядок составления реестра операционного риска (рекомендованная форма представлена в приложении 2) | абзац десятый подпункта 2.1.1 пункта 2.1 Положения N 716-П | ||
Официальный источник электронного документа содержит неточность: имеется в виду абзац одиннадцатый подпункта 2.1.1 пункта 2.1 Положения ЦБ РФ от 08.04.2020 N 716-П. | |||
3. | Порядок ведения базы событий операционного риска (далее - СОР) | В соответствии с требованиями 3 и 6 глав Положения N 716-П с учетом разъяснений, опубликованных на сайте Банка России | |
3.1 | порядок сбора информации о СОР | порядок выявления СОР | подпункт 2.1.2 пункта 2.1 Положения N 716-П |
порядок и срок проведения анализа обстоятельств и источников (причин реализованных СОР) | |||
порядок взаимодействия подразделений, участвующих в процессе сбора и регистрации информации о СОР | |||
3.2 | единый классификатор СОР | в разрезе источников операционного риска | пункт 3.3 Положения N 716-П |
в разрезе типов СОР | пункты 3.6 - 3.8 Положения N 716-П | ||
в разрезе видов потерь от реализации операционного риска | пункты 3.11 - 3.14 Положения N 716-П | ||
в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов с указанием уровня их критичности, владельцев процессов, центров компетенций | пункты 3.9 - 3.10 Положения N 716-П | ||
3.3 | перечень процессов кредитной организации | перечень всех процессов, отнесенных к направлениям деятельности, с указанием уровня их критичности и подразделений, ответственных за осуществление операций и сделок и за результаты процесса | подпункт 4.1.1 Положения N 716-П |
3.4 | порядок ведения базы событий | порог регистрации | пункт 6.5 Положения N 716-П |
алгоритмизированные правила ввода информации о СОР в базу событий, включая требования к форме и содержанию вводимой информации, в том числе определение ответственных подразделений за ввод данных | подпункты 2.1.1 и 2.1.2 пункта 2.1, пункты 6.2, 6.6 Положения N 716-П | ||
методы и порядок определения прямых и непрямых потерь, порядок отнесения расходов по СОР в бухгалтерском учете и базе событий, включая перечень лицевых счетов, на которых они отражаются, документооборот и информационный обмен внутри кредитной организации по отражению потерь в бухгалтерском учете | пункт 3.15 Положения N 716-П | ||
порядок определения потерь и возмещений, включая перечень назначенных экспертов для определения потерь | пункт 2.1.3 Положения N 716-П | ||
требования к содержанию обоснования величины потери | пункт 6.6 Положения N 716-П | ||
порядок учета величины валовых потерь | подпункт 6.7.1 пункта 6.7 Положения N 716-П | ||
порядок идентификации потерь и возмещений в разрезе всех СОР | подпункт 6.7.2 пункта 6.7 Положения N 716-П | ||
критерии однородности СОР для целей их группировки | пункт 6.12 Положения N 716-П | ||
порядок контроля за своевременностью отражения возмещения потерь от реализации СОР | пункт 6.16 Положения N 716-П | ||
перечень должностей работников кредитной организации, участвующих в ведении базы событий | пункт 6.21 Положения N 716-П | ||
4. | Порядок проведения процедуры оценки операционного риска | В соответствии с главой 2 Положения N 716-П | |
4.1 | порядок проведения процедуры количественной оценки уровня операционного риска | порядок проведения агрегированной оценки уровня операционного риска с учетом разъяснения, размещенного на официальном сайте Банка России в разделе "О процедурах управления операционным риском (часть 4)", вопрос N 3 (может не составляться кредитной организацией, применяющей регуляторный подход к оценке капитала, выделяемого на покрытие операционного риска) | абзац второй подпункта 2.1.4 пункта 2.1 Положения N 716-П |
порядок проведения оценки объема капитала, выделяемого кредитной организацией в рамках внутренних процедур оценки достаточности капитала, на покрытие потерь от реализации событий операционного риска (для кредитных организаций, применяющих регуляторный подход, достаточно указать ссылку на внутренний документ, устанавливающий расчет размера операционного риска для целей нормативов достаточности и порядок применения требований приложения 2 к Положению N 716-П в части регуляторного подхода) | абзац третий подпункта 2.1.4 пункта 2.1 Положения N 716-П | ||
порядок проведения оценки ожидаемых потерь от реализации операционного риска | абзац четвертый подпункта 2.1.4 пункта 2.1 Положения N 716-П | ||
4.2 | порядок проведения процедуры качественной оценки операционного риска | способы проведения процедуры качественной оценки операционного риска | абзацы первый - четвертый подпункта 2.1.5 пункта 2.1 Положения N 716-П |
методы проведения процедуры качественной оценки уровня операционного риска | абзац пятый подпункта 2.1.5 пункта 2.1 Положения N 716-П | ||
методика проведения самооценки операционного риска | абзац восьмой подпункта 2.1.5 пункта 2.1 Положения N 716-П | ||
методы проведения профессиональной оценки уровня операционного риска работниками кредитной организации и (или) внешними экспертами | абзац пятнадцатый подпункта 2.1.5 пункта 2.1 Положения N 716-П | ||
методика сценарного анализа операционных рисков и порядок его проведения <1> | абзацы шестнадцатый - семнадцатый подпункта 2.1.5 пункта 2.1 Положения N 716-П | ||
шкалы качественных оценок и методика определения оценок для качественных потерь от реализации СОР | подпункт 3.13.2 пункта 3.13 Положения N 716-П | ||
5. | Порядок проведения процедуры реагирования на операционный риск | способы проведения процедуры выбора и применения способа реагирования на операционный риск, используемые кредитной организацией | подпункт 2.1.6 пункта 2.1 Положения N 716-П |
мероприятия, направленные на повышение качества СУОР и уменьшение негативного влияния операционного риска, используемые кредитной организацией | подпункт 4.1.5 пункта 4.1 Положения N 716-П | ||
6. | Порядок проведения процедуры мониторинга операционного риска | способы проведения процедуры мониторинга операционного риска | абзацы первый - седьмой подпункта 2.1.7 пункта 2.1 Положения N 716-П |
процедура мониторинга операционного риска | абзац восьмой подпункта 2.1.7 пункта 2.1 Положения N 716-П | ||
правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска | абзац девятый подпункта 2.1.7 пункта 2.1 Положения N 716-П | ||
порядок формирования и контроля значений ключевых индикаторов риска в разрезе направлений деятельности, процессов и подразделений, их документирования, в том числе перечень ключевых индикаторов риска в разрезе направлений деятельности, процессов и подразделений | абзацы девятый - двадцатый подпункта 2.1.7 пункта 2.1 Положения N 716-П | ||
Официальный источник электронного документа содержит неточность: имеется в виду абзац десятый подпункта 2.1.7 пункта 2.1 Положения ЦБ РФ от 08.04.2020 N 716-П. | |||
перечень коллегиальных органов кредитной организации, а также должностных лиц и подразделений кредитной организации, которым направляются на рассмотрение отчеты, содержащие результаты процедуры мониторинга операционного риска в составе отчетов об управлении операционным риском (в соответствующих разрезах по направлениям деятельности и подразделениям), порядок рассмотрения ими данных отчетов, подразделений и должностных лиц | абзац двадцать второй подпункта 2.1.7 пункта 2.1 Положения N 716-П, пункт 4.2 Положения N 716-П | ||
7. | Перечень КПУР | перечень КПУР в целом по кредитной организации и в разрезе направлений деятельности, в том числе в разрезе наиболее критически важных процессов | пункт 5.1 Положения N 716-П |
порядок расчета сигнальных и контрольных значений КПУР | |||
меры реагирования на превышение контрольных значений КПУР | |||
КПУР, указанные в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П, в разрезе центров компетенций | подпункт 2.1.2 пункта 2.1 Положения N 716-П | ||
8. | Требования к информационной системе <2> | порядок функционирования информационной системы и (или) программно-аппаратных средств (при их наличии), обеспечивающих управление операционным риском и включающих автоматизацию ведения базы событий и процедур управления операционным риском, с учетом соблюдения требований к обеспечению надежности, непрерывности и качества функционирования информационных систем, указанных в пунктах 8.7 и 8.8 Положения N 716-П | подпункт 4.3.1 пункта 4.3 Положения N 716-П |
9. | Порядок управления модельным риском | порядок проведения процедур по управлению модельным риском | подпункт 4.3.1 пункта 4.3 Положения N 716-П |
Официальный источник электронного документа содержит неточность: имеется в виду подпункт 4.3.2 пункта 4.3 Положения ЦБ РФ от 08.04.2020 N 716-П. | |||
Внутренние документы по управлению риском информационной безопасности | |||
10. | Политика информационной безопасности | с учетом требований к содержанию политики управления риском информационной безопасности, указанных в пункте 7.8 Положения N 716-П | пункт 7.8 Положения N 716-П |
11. | Порядок управления риском информационной безопасности | порядок ведения базы событий риска информационной безопасности (включая порядок классификации событий риска информационной безопасности). В случае если база событий риска информационной безопасности ведется отдельно, то разрабатывается порядок информационного обмена между подразделениями для отражения информации о событиях риска информационной безопасности и передачи этой информации в базу событий операционного риска в соответствии с пунктом 6.10 Положения N 716-П | пункт 7.5 Положения N 716-П пункты 7.3, 7.4 Положения N 716-П пункты 6.9, 6.10 Положения N 716-П |
порядок функционирования системы информационной безопасности в соответствии с требованиями пункта 7.7 Положения N 716-П и действующих ГОСТов по информационной безопасности | пункт 7.7 Положения N 716-П | ||
Внутренние документы по управлению риском информационных систем | |||
12. | Политика информационных систем | с учетом требований к содержанию политики информационных систем | пункт 8.3 Положения N 716-П |
порядок и правила проведения анализа и пересмотра политики информационных систем | пункт 8.4 Положения N 716-П | ||
перечень информационных систем, обеспечивающих функционирование процессов, с указанием категории информационных систем, обеспечивающих функционирование критически важных процессов, основных и прочих | пункт 8.5 Положения N 716-П пункт 4.1.1 Положения N 716-П | ||
13. | Порядок управления риском информационных систем | мероприятия и процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах | пункт 8.1 Положения N 716-П |
14. | Требования к информационным системам <2> | с учетом требований к структуре информационных систем | подпункт 8.7.1 пункта 8.7 Положения N 716-П |
с учетом требований к стандартизации и унификации, используемым при создании, модернизации и эксплуатации информационных систем | подпункт 8.7.2 пункта 8.7 Положения N 716-П | ||
с учетом требований к надежности функционирования информационных систем | подпункт 8.7.3 пункта 8.7 Положения N 716-П | ||
с учетом требований к обеспечению качества данных в информационных системах | подпункт 8.7.4 пункта 8.7 Положения N 716-П | ||
методика обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы | подпункт 8.7.5 пункта 8.7 Положения N 716-П | ||
дополнительные требования к информационным системам и их функционированию | подпункт 8.7.7 пункта 8.7 Положения N 716-П | ||
15. | Порядок обеспечения непрерывности и качества функционирования информационных систем | положение и стратегия по обеспечению непрерывности и восстановления функционирования информационных систем | подпункт 8.8.5 пункта 8.8 Положения N 716-П |
порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы | подпункт 8.7.6 пункта 8.7 Положения N 716-П | ||
с учетом требований по обеспечению непрерывности и качества функционирования информационных систем | пункт 8.8 Положения N 716-П | ||
дополнительные требования к обеспечению непрерывности и качества функционирования информационных систем | подпункт 8.8.13 пункта 8.8 Положения N 716-П |
<1> Для банков, размер активов которых составляет 500 миллиардов рублей и более, в соответствии с требованиями главы 9 Положения N 716-П.
<2> Могут быть представлены в виде приложения к Политике информационных систем.
Приложение 2
РЕКОМЕНДУЕМЫЙ ФОРМАТ РЕЕСТРА ОПЕРАЦИОННЫХ РИСКОВ КРЕДИТНОЙ ОРГАНИЗАЦИИ
Наименование поля | Описание поля |
N | Порядковый номер идентифицированного операционного риска. |
Вид операционного риска | Вид операционного риска в соответствии с пунктом 1.4 Положения N 716-П. |
Наименование риска | Уникальное наименование идентифицированного операционного риска. |
Описание риска | Описание идентифицированного операционного риска (в том числе описание, каким образом риск может реализоваться, примеры возможных причин и последствий реализации соответствующего операционного риска). |
Тип события (1-го уровня) | Наименование типа события 1-го уровня, которым будет классифицировано событие в случае реализации идентифицированного операционного риска. Соответствует пункту Положения N 716-П. |
Тип события (2-го уровня) | Наименование типа события 2-го уровня, которым будет классифицировано событие в случае реализации идентифицированного операционного риска. Соответствует пункту Положения N 716-П. |
Тип события (3-го уровня) | Наименование типа события 3-го уровня, разработанного кредитной организацией самостоятельно (при наличии), а также для риска информационной безопасности тип события в соответствии с приложением 5 к Положению N 716-П. |
Тип события (4-го уровня) | Наименование типа события 4-го уровня, разработанного кредитной организацией самостоятельно (при наличии). |
Наиболее значимый источник риска <1> | В случае если источник риска является наиболее значимым, указывается соответствующий источник. |
Источники риска | В случае если источником идентифицированного операционного риска являются несколько источников риска, перечисленных в пункте 3.3 Положения N 716-П, в соответствующем поле отмечаются все источники риска. Например, указывается значение "1", если источник риска определен для данного операционного риска или поле не заполняется, если данный источник риска не определен для идентифицированного операционного риска. |
Наиболее значимое направление деятельности <2> | В случае если направление деятельности является наиболее значимым, указывается соответствующее направление деятельности. |
Направления деятельности | В случае если направлению деятельности присущ данный операционный риск, в соответствующем поле указываются все направления деятельности, в которых может реализоваться данный операционный риск. Например, указывается значение "1", если направление деятельности определено для данного операционного риска, или поле не заполняется, если направление деятельности. |
Бизнес-процессы | Перечисление построчно всех бизнес-процессов кредитной организации, которым присущ данный идентифицированный операционный риск. |
Центр компетенции | Центр (центры) компетенций, ответственный (ответственные) за разработку мер, направленных на снижение уровня идентифицированного операционного риска, а также ответственный за мониторинг уровня данного операционного риска. |
Оценка уровня существенности идентифицированного операционного риска <3> | Оценка уровня существенности идентифицированного операционного риска (по качественной шкале оценок) в соответствии с пунктом 2.1.5 Положения N 716-П. |
Оценка остаточного риска | Уровень остаточного риска по критериям, разработанным в соответствии с абзацем 12 пункта 2.1.5 Положения N 716-П. |
Ключевые индикаторы риска | Описание КИР, используемых кредитной организацией для мониторинга уровня и динамики данного идентифицированного операционного риска. |
Способ реагирования | Выбранный способ реагирования в соответствии с пунктом 2.1.6 Положения N 716-П. |
Меры, направленные на уменьшение негативного влияния операционного риска | Описание мер, направленных на уменьшение негативного влияния операционного риска, включая сроки завершения данных мер и реквизиты документов, в соответствии с которыми реализуются меры. |
<1> В соответствии с пунктом 3.5 Положения N 716-П.
<2> В соответствии с пунктом 3.9 Положения N 716-П.
<3> В соответствии с абзацем одиннадцатым подпункта 2.1.5 пункта 2.1 Положения N 716-П.