Глава 1. Общие положения
1.1. Кредитная организация и головная кредитная организация банковской группы, за исключением центрального контрагента в значении, установленном в статье 2 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте" (Собрание законодательства Российской Федерации, 2011, N 7, ст. 904; 2016, N 1, ст. 23; 2017, N 30, ст. 4456), и центрального депозитария в значении, установленном в статье 2 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (Собрание законодательства Российской Федерации, 2011, N 50, ст. 7356), должны организовать управление операционным риском в соответствии с настоящим Положением.
Понятие "операционный риск" применяется в настоящем Положении в значении, установленном в пункте 4.1 приложения 1 к Указанию Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированному Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, 7 декабря 2017 года N 49156, 5 сентября 2018 года N 52084, 3 июня 2020 года N 58576 (далее - Указание Банка России N 3624-У).
1.2. Кредитная организация (головная кредитная организация банковской группы) выявляет случаи фактической реализации операционного риска (далее - событие операционного риска) в соответствии с главой 2 настоящего Положения, классифицирует события операционного риска в соответствии с главой 3 настоящего Положения и фиксирует события операционного риска в базе событий в соответствии с главой 6 настоящего Положения. Понятие "база событий" применяется в настоящем Положении в значении, установленном в пункте 4.3 приложения 1 к Указанию Банка России N 3624-У.
1.3. Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) включает следующие элементы:
процедуры управления операционным риском в соответствии с главой 2 настоящего Положения;
классификатор событий операционного риска, используемый в системе управления операционным риском, в соответствии с главой 3 настоящего Положения;
базу событий;
контрольные показатели уровня операционного риска в соответствии с главой 5 настоящего Положения;
подразделение кредитной организации (головной кредитной организации банковской группы), ответственное за организацию управления операционным риском, структурно входящее в службу управления рисками кредитной организации (головной кредитной организации банковской группы) (далее - подразделение, ответственное за организацию управления операционным риском);
специализированные подразделения кредитной организации (головной кредитной организации банковской группы, участников банковской группы (в последних при наличии), которые в рамках функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 настоящего Положения, в части отдельных видов операционного риска, определенных в пункте 1.4 настоящего Положения (далее - специализированное подразделение). В случае если специализированные подразделения организационно независимы от службы управления рисками кредитной организации (головной кредитной организации банковской группы), кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок координации руководителем подразделения, ответственного за организацию управления операционным риском, деятельности работников таких специализированных подразделений, связанной с управлением операционным риском, в части соблюдения процедур управления операционным риском, обмена информации, предоставления отчетности и других элементов взаимодействия;
подразделения кредитной организации (головной кредитной организации банковской группы), осуществляющие в рамках системы управления операционным риском идентификацию операционного риска, сбор информации и информирование о выявленном операционном риске как подразделения, ответственного за организацию управления операционным риском, так и подразделения, в котором выявлен операционный риск (в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы) в случае, если операционный риск выявлен в деятельности другого подразделения кредитной организации (головной кредитной организации банковской группы), оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах (далее - центры компетенций). К центрам компетенций в рамках системы управления операционным риском относятся подразделения кредитной организации (головной кредитной организации банковской группы), в функциональные обязанности которых входит осуществление операций и сделок в рамках своих процессов и которые несут ответственность за результаты выполнения процесса и за достижение целевых показателей процесса (далее - подразделения, ответственные за осуществление операций и сделок и за результаты процесса), и подразделения, обеспечивающие процессы кредитной организации (головной кредитной организации банковской группы);
подразделение кредитной организации (головной кредитной организации банковской группы), структурно независимое от службы управления рисками (например, служба внутреннего аудита), уполномоченное проводить ежегодную оценку эффективности функционирования системы управления операционным риском, в том числе оценку эффективности выполнения принятых в кредитной организации (головной кредитной организации банковской группы) процедур управления операционным риском, в соответствии с пунктом 4.4 настоящего Положения (далее - уполномоченное подразделение);
автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами кредитной организации (головной кредитной организации банковской группы), обеспечивающую функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий), в том числе сохранность данных и их защиту от искажений;
дополнительные элементы системы управления операционным риском, определенные в соответствии с главой 4 настоящего Положения.
1.4. Кредитная организация (головная кредитная организация банковской группы) для целей унификации управления операционным риском выделяет следующие виды операционного риска, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском:
риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации (далее - риск информационной безопасности);
риск отказов и (или) нарушения функционирования применяемых кредитной организацией информационных систем и (или) несоответствия их функциональных возможностей и характеристик потребностям кредитной организации (далее - риск информационных систем);
правовой риск в значении, установленном в пункте 3.3 Указания Банка России N 3624-У;
риск ошибок в управлении проектами, состоящий в недостатках и нарушениях организации процессов управления проектной деятельностью, направленных на изменение систем функционирования и поддержания работоспособности кредитной организации;
риск ошибок в управленческих процессах, состоящий в недостатках и нарушениях внутренних процессов кредитной организации, недостатках принятия решений по банковским сделкам и операциям, внутрихозяйственной деятельности;
риск ошибок в процессах осуществления внутреннего контроля, состоящий в недостатках и нарушениях системы внутреннего контроля, в том числе нарушениях правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, нарушениях внутренних правил совершения операций и сделок;
модельный риск в значении, установленном в пункте 4.2 приложения 1 к Указанию Банка России N 3624-У;
риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг;
риск ошибок процесса управления персоналом, состоящий в недостатках и нарушениях внутренних процессов кредитной организации в управлении персоналом, в том числе при подборе, найме, адаптации, увольнении, обеспечении безопасности и охраны труда, социальной поддержки, в системе вознаграждения и компенсации;
операционный риск платежной системы в значении, установленном в абзаце третьем пункта 1 приложения 2 к Положению Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", зарегистрированному Министерством юстиции Российской Федерации 22 декабря 2017 года N 49386 (далее - Положение Банка России N 607-П).
В случае если в кредитной организации (головной кредитной организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.
1.5. Кредитная организация (головная кредитная организация банковской группы) утверждает процедуры управления операционным риском в соответствии с пунктом 2.4 Указания Банка России N 3624-У. Единоличный и коллегиальный исполнительные органы кредитной организации (головной кредитной организации банковской группы) обеспечивают их исполнение в соответствии с требованиями главы 2 настоящего Положения. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований настоящего Положения.