Глава 2. Процедуры управления операционным риском
2.1. Кредитная организация (головная кредитная организация банковской группы) с учетом положений пункта 4.1 приложения 1 к Указанию Банка России N 3624-У и главы 9 настоящего Положения устанавливает во внутренних документах следующие процедуры управления операционным риском.
2.1.1. Идентификация операционного риска, включающая следующие способы:
анализ базы событий;
проведение подразделениями кредитной организации (головной кредитной организации банковской группы) ежегодной самооценки уровня операционного риска и форм (способов) контроля, направленных на снижение его уровня, на основе формализованных анкет (далее - самооценка операционного риска) в соответствии с требованиями абзацев восьмого - тринадцатого подпункта 2.1.5 настоящего пункта;
анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска) (далее - КИР), по направлениям деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы) в соответствии с абзацами девятым - двадцатым подпункта 2.1.7 настоящего пункта;
интервью с работниками кредитной организации (головной кредитной организации банковской группы), в том числе с руководством кредитной организации (головной кредитной организации банковской группы), в рамках которых работниками и руководством кредитной организации (головной кредитной организации банковской группы) обсуждаются операционные риски, оказывающие влияние на деятельность кредитной организации (головной кредитной организации банковской группы);
анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации операционного риска;
анализ информации уполномоченного подразделения и внешнего аудита;
анализ информации работников кредитной организации (головной кредитной организации банковской группы), полученной в рамках инициативного информирования работниками кредитной организации (головной кредитной организации банковской группы) службы управления рисками и (или) службы внутреннего аудита;
анализ других внешних и внутренних источников информации и способов выявления рисков.
Кредитная организация (головная кредитная организация банковской группы) использует результаты процедуры идентификации операционного риска для проведения процедур количественной и качественной оценки уровня операционного риска и корректного учета связи идентифицированного операционного риска с событиями операционного риска в базе событий.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 настоящего Положения.
2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:
автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;
неавтоматизированное выявление и сбор информации о событиях операционного риска, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий операционного риска, в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны. Порядок и срок проведения анализа обстоятельств и причин произошедших событий операционного риска определяется кредитной организацией (головной кредитной организации банковской группы) во внутренних документах;
ввод информации о событиях операционного риска в базу событий по алгоритмизированным правилам, установленным кредитной организацией (головной кредитной организации банковской группы) во внутренних документах;
классификацию выявленных событий операционного риска в соответствии с главой 3 настоящего Положения;
определение потерь от реализации событий операционного риска в соответствии с подпунктом 2.1.3 настоящего пункта;
регистрацию событий операционного риска в базе событий;
определение стоимости возмещений потерь от реализации событий операционного риска в базе событий;
обновление в соответствии с главой 6 настоящего Положения информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации;
актуализацию источников информации о событиях операционного риска и сведений о центрах компетенций, ответственных за их сбор.
Кредитная организация (головная кредитная организация банковской группы) обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:
центров компетенций;
правил предоставления информации об идентифицированных событиях операционного риска центрами компетенций в подразделение, ответственное за организацию управления операционным риском, не позднее пяти рабочих дней с момента идентификации события операционного риска, за исключением событий операционного риска, загружаемых в базу событий программно-аппаратными средствами на определенную кредитной организацией (головной кредитной организацией банковской группы) отчетную дату в соответствии с порядком, указанным кредитной организаций (головной кредитной организацией банковской группы) во внутренних документах, но не реже одного раза в месяц (предоставление информации об идентифицированных событиях операционного риска дочерней кредитной организацией в головную кредитную организацию банковской группы осуществляется в соответствии с пунктом 6.3 настоящего Положения);
контрольных показателей уровня операционного риска, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению в разрезе центров компетенций (ключевых показателей эффективности по выявлению событий операционного риска в процессах), ответственность за несоблюдение которых возложена на центры компетенций (их руководителей).
2.1.3. Определение потерь и возмещений потерь от реализации событий операционного риска, включающее следующие способы:
учет потерь кредитной организации (головной кредитной организации банковской группы), указанных в пункте 3.11 настоящего Положения, включая установление сроков выявления и правил отражения в бухгалтерском учете, с учетом пунктов 6.7 - 6.19 настоящего Положения;
порядок и методы определения потерь кредитной организации (головной кредитной организации банковской группы), указанных в пункте 3.13 настоящего Положения, от события операционного риска;
порядок выявления расходов, относящихся к операционному риску, из общих расходов кредитной организации (головной кредитной организации банковской группы) (для определения потерь, указанных в пункте 3.12 настоящего Положения), в том числе порядок выявления и сверки событий операционного риска с данными бухгалтерского учета;
порядок и методы оценки недополученных доходов, связанных с событиями операционного риска (для определения потерь, указанных в пункте 3.13 настоящего Положения);
порядок и методы определения потенциальных потерь, указанных в подпункте 3.13.3 пункта 3.13 настоящего Положения;
порядок и методы определения стоимости возмещений от событий операционного риска;
отбор и назначение экспертов кредитной организации (головной кредитной организации банковской группы), ответственных за расчет потерь от реализации событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, областей их компетенции и ответственности. Допускается совмещение функции регистрации событий операционного риска в базе событий и функции расчета потерь и возмещений от реализации событий операционного риска.
2.1.4. Количественная оценка уровня операционного риска, включающая следующие способы:
агрегированную оценку уровня операционного риска по кредитной организации (головной кредитной организации банковской группы) в целом, по подразделениям кредитной организации (головной кредитной организации банковской группы), а также по типам событий операционного риска в соответствии с пунктом 3.6 настоящего Положения, направлениям деятельности, в том числе в разрезе составляющих их процессов, в соответствии с пунктом 3.9 настоящего Положения и видам операционного риска в соответствии с пунктом 1.4 настоящего Положения;
оценку объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) в рамках внутренних процедур оценки достаточности капитала (далее - ВПОДК), на покрытие потерь от реализации событий операционного риска в целом по кредитной организации (головной кредитной организации банковской группы) в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, риска информационной безопасности и других видов операционного риска, с учетом подходов к расчету объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) на покрытие потерь от реализации операционного риска, изложенных в приложении 2 к настоящему Положению;
оценку ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, по которым наблюдается статистика событий операционного риска, в целях покрытия этих потерь за счет ценообразования услуг и тарифов (при наличии). Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска.
Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах способы проведения процедуры количественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.
2.1.5. Качественная оценка уровня операционного риска, проводимая в отношении выявленных операционных рисков в дополнение к количественной оценке и включающая следующие способы:
самооценку операционного риска в соответствии с абзацами восьмым - тринадцатым настоящего подпункта;
профессиональную оценку выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами с учетом установленных кредитной организацией (головной кредитной организации банковской группы) во внутренних документах правил привлечения внешних экспертов;
сценарный анализ операционных рисков.
Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методы проведения процедуры качественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.
Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска, который утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы) и включает определение ответственных и участвующих подразделений кредитной организации (головной кредитной организации банковской группы) (далее - план проведения качественной оценки).
Подразделения кредитной организации (головной кредитной организации банковской группы) осуществляют оценку уровня операционного риска в соответствии с планом проведения качественной оценки.
Самооценка операционного риска проводится кредитной организацией (головной кредитной организацией банковской группы) не реже одного раза в год по установленной во внутренних документах методике (в виде анкетирования выделенных для данной процедуры работников подразделений кредитной организации (головной кредитной организации банковской группы) по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с использованием формализованных анкет).
Самооценка операционного риска проводится кредитной организацией (головной кредитной организацией банковской группы) в отношении всех видов операционного риска в соответствии с планом проведения качественной оценки.
Кредитная организация (головная кредитной организации банковской группы) определяет критерии самооценки операционного риска, которые должны включать:
критерии оценки уровня существенности операционного риска (с соотнесением к четырехуровневой шкале: "очень высокий", "высокий", "средний", "низкий"), включая критерии оценки потерь и вероятности операционного риска в условиях текущего процесса;
критерии оценки эффективности форм (способов) контроля (с учетом уровня регламентации и автоматизации мер уменьшения негативного влияния оцениваемого операционного риска), действующих на момент проведения оценки;
критерии оценки уровня возможных потерь при реализации операционного риска с учетом оценки эффективности форм (способов) контроля (далее - уровень остаточного риска).
Кредитная организация (головная кредитная организация банковской группы) разрабатывает требования к проведению профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами с указанием сроков, правил и порядка ее проведения.
Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методы проведения профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений кредитной организации (головной кредитной организации банковской группы) на основе требований к ее проведению.
Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах методику сценарного анализа операционных рисков и порядок его проведения.
Кредитная организация (головная кредитная организация банковской группы) определяет в порядке проведения сценарного анализа операционных рисков критерии проведения сценарного анализа операционных рисков в отношении выявленных операционных рисков, а также источников операционного риска, которые не реализовались в кредитной организации (головной кредитной организации банковской группы), но у которых есть вероятность реализации с высоким уровнем потерь или других последствий с негативным влиянием на деятельность кредитной организации (головной кредитной организации банковской группы).
2.1.6. Выбор и применение способа реагирования на операционный риск по результатам мероприятий, утвержденных в соответствии с абзацем шестым подпункта 2.1.5 настоящего пункта, в срок не более трех месяцев со дня проведения оценки уровня операционного риска, включая следующие способы реагирования:
уклонение от риска, предусматривающее отказ кредитной организации (головной кредитной организации банковской группы) от оказания соответствующего вида услуг и операций в связи с высоким уровнем операционного риска в них;
передачу риска, предусматривающую страхование, передачу риска другой стороне - контрагенту и (или) клиенту;
принятие риска, предусматривающее готовность кредитной организации (головной кредитной организации банковской группы) принять возможные потери в рамках установленного лимита потерь с процедурой контроля соблюдения лимита;
принятие мер, направленных на уменьшение негативного влияния операционного риска на качество процессов, величины совокупных потерь от реализации операционного риска до учета возмещения (далее - валовые потери), включая разработку кредитной организацией (головной кредитной организации банковской группы) форм (способов) контроля, которые включают:
изменения, вносимые в процессы;
установление дополнительных форм (способов) контроля;
обучение работников, в том числе участников процессов;
применение автоматизированных решений;
другие меры, направленные на уменьшение негативного влияния операционного риска.
Рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска, приведен в приложении 3 к настоящему Положению.
Кредитная организация (головная кредитная организация банковской группы) выбирает и применяет способы реагирования на операционный риск в зависимости от оценки уровня операционного риска, в том числе уровня потерь от реализации операционного риска и событий операционного риска.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок проведения процедуры выбора и применения способа реагирования на операционный риск, в том числе методы оценки стоимости выбранного способа реагирования.
Кредитная организация (головная кредитная организация банковской группы) разрабатывает меры, направленные на уменьшение негативного влияния операционного риска, с учетом оценки их эффективности и уровня остаточного риска (по результатам реализации мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска).
2.1.7. Мониторинг операционного риска, включающий следующие способы:
установление и мониторинг КИР;
анализ статистики событий операционного риска, в том числе причин возникновения событий операционного риска и потерь от их реализации;
контроль выполнения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, определенных в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения;
контроль выполнения мер, направленных на уменьшение негативного влияния операционного риска, определенных в соответствии с абзацами пятым - десятым подпункта 2.1.6 настоящего пункта;
контроль соблюдения выбранных способов реагирования на операционные риски;
мониторинг потоков информации в рамках реализации операционного риска, поступающей от подразделений кредитной организации (головной кредитной организации банковской группы) и центров компетенций, единоличного и коллегиального органов управления кредитной организации (головной кредитной организации банковской группы), из других источников информации.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах процедуру мониторинга операционного риска.
Кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска.
Кредитная организация (головная кредитная организация банковской группы) во внутренних документах устанавливает требования к КИР и к их документированию, включающие:
количественное измерение КИР;
способы расчета КИР, в том числе с использованием средств автоматизации;
периодичность (не реже одного раза в год) проведения оценки в целях пересмотра КИР для обеспечения поддержания КИР в актуальном состоянии;
регулярность и своевременность расчета КИР с указанием сроков (периода) расчета КИР (например, в постоянном режиме, один раз в неделю, по состоянию на момент закрытия операционного дня);
процедуры валидации значений и данных КИР для проверки корректности расчета;
состав информации, используемой для расчета КИР, и ее источников, включая способ получения информации;
пороговые значения КИР с обоснованием их установления;
наименования и элементы классификации операционных рисков, которые отслеживают КИР;
подразделение кредитной организации (головной кредитной организации банковской группы), ответственное за предоставление данных для расчета КИР и (или) расчет КИР;
порядок реагирования на превышение пороговых значений КИР.
Для кредитных организаций (головных кредитных организаций банковской группы), являющихся в соответствии со статьей 3 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423) (далее - Федеральный закон N 161-ФЗ) операторами платежной системы или операторами услуг платежной инфраструктуры, требования к КИР должны быть установлены с учетом требований к определению показателей бесперебойности функционирования платежной системы, установленных в приложении 1 к Положению Банка России N 607-П, которые должны рассматриваться в качестве КИР.
Кредитная организация (головная кредитная организация банковской группы) направляет результаты процедуры мониторинга операционного риска на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) или другим органам кредитной организации (головной кредитной организации банковской группы), перечень которых определяется во внутренних документах кредитной организации (головной кредитной организации банковской группы), в составе ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым и третьим подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.
2.2. Кредитная организация (головная кредитная организация банковской группы) предусматривает во внутренних документах, регламентирующих процедуры управления операционным риском, функции и обязанность подразделений кредитной организации (головной кредитной организации банковской группы), участвующих на различных этапах процессов (далее - подразделение - участник процессов), а также подразделений, ответственных за осуществление операций и сделок и за результаты процесса, участвовать в выявлении операционного риска и сборе информации о событиях операционного риска и потерях от его реализации, в качественной оценке операционного риска.
2.3. Кредитная организация (головная кредитная организация банковской группы) включает информацию о результатах проведения процедур управления операционным риском, установленных пунктом 2.1 настоящего Положения, в состав ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.
2.4. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах, регламентирующих процедуры управления операционным риском, способы их проведения, перечисленные в настоящей главе, с учетом требований, указанных в главе 9 настоящего Положения.
2.5. Оценка эффективности выполнения процедур управления операционным риском кредитной организации (головной кредитной организации банковской группы) производится уполномоченным подразделением с учетом требований подпункта 4.1.4 пункта 4.1, пунктов 4.4, 4.6, 6.12, 6.17, 6.19, 7.11, 8.4, подпункта 8.8.8 пункта 8.8 и главы 9 настоящего Положения и приложения 1 к настоящему Положению. Отчет о результатах оценки эффективности выполнения процедур управления операционным риском (в том числе на предмет их полноты и корректности) предоставляется уполномоченным подразделением на рассмотрение совету директоров (наблюдательному совету) и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) в срок, установленный во внутренних документах кредитной организации (головной кредитной организации банковской группы).