Глава 4. Дополнительные элементы системы управления операционным риском
4.1. Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) в дополнение к элементам, предусмотренным в пункте 1.3 настоящего Положения, включает следующие элементы.
4.1.1. Перечень процессов кредитной организации (головной кредитной организации банковской группы), отнесенных к направлениям деятельности (в разрезе составляющих их процессов), приведенным в пункте 3.9 настоящего Положения, с указанием уровня их критичности, функций подразделений, ответственных за осуществление операций и сделок и за результаты процесса, и подразделений - участников процессов.
По уровню критичности процессы кредитной организации (головной кредитной организации банковской группы) подразделяются на критически важные процессы, основные, обеспечивающие и прочие.
Критически важные процессы обеспечивают выполнение операций кредитной организации (головной кредитной организации банковской группы), указанных в пунктах 1 - 4 и 9 части первой статьи 5 Федерального закона "О банках и банковской деятельности" (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 2019, N 30, ст. 4151), ведение бухгалтерского учета, представление отчетности в Банк России в соответствии с Указанием Банка России от 8 октября 2018 года N 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 13 декабря 2018 года N 52992, 13 декабря 2019 года N 56796 (далее - Указание Банка России N 4927-У), поддержание ликвидности, выполнение операций на финансовых рынках, кассовых операций, работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций, соблюдение требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2018, N 1, ст. 82), Трудового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2019, N 51, ст. 7491), Федерального закона "О банках и банковской деятельности", а также другие процессы, которые определены кредитной организацией (головной кредитной организацией банковской группы) и прерывание функционирования которых оказывает влияние на выполнение обязательств перед клиентами и контрагентами кредитной организации (головной кредитной организации банковской группы).
Основные процессы обеспечивают выполнение операций, предусмотренных статьей 5 Федерального закона "О банках и банковской деятельности", не отнесенных кредитной организацией (головной кредитной организацией банковской группы) к критически важным процессам, и других операций и услуг, объем которых формирует объем расходов (доходов) более 5 процентов от дохода за год для целей расчета капитала на покрытие операционного риска кредитной организации (головной кредитной организации банковской группы), определяемого в соответствии с пунктом 3 Положения Банка России от 3 сентября 2018 года N 652-П "О порядке расчета размера операционного риска", зарегистрированного Министерством юстиции Российской Федерации 19 ноября 2018 года N 52705, 19 декабря 2018 года N 53050 (далее - Положение Банка России N 652-П) (далее - доход за год для целей расчета капитала на покрытие операционного риска). Кредитная организация (головная кредитная организация банковской группы) проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра перечня основных процессов при осуществлении действий, предусмотренных пунктом 4.6 настоящего Положения.
К прочим процессам относятся процессы, не отнесенные кредитной организацией (головной кредитной организацией банковской группы) к критически важным процессам или основным процессам.
4.1.2. Политика управления операционным риском и внутренние документы, описывающие процедуры управления операционным риском, а также процедуры оценки эффективности функционирования системы управления операционным риском.
4.1.3. Внутренние документы, устанавливающие в кредитной организации (головной кредитной организации банковской группы) структуру и организацию системы управления операционным риском, в том числе полномочия и функции руководителей подразделения, ответственного за организацию управления операционным риском, специализированных подразделений, центров компетенций с учетом исключения конфликта интересов.
Дочерние кредитные организации должны согласовывать внутренние документы по структуре и организации системы управления операционным риском, а также внутренние документы, указанные в подпункте 4.1.2 настоящего пункта, с головной кредитной организацией банковской группы.
4.1.4. Порядок оценки уполномоченным подразделением и (или) организацией, осуществляющей внешний аудит, эффективности функционирования системы управления операционным риском, в том числе выполнения принятых в кредитной организации (головной кредитной организации банковской группы) процедур управления операционным риском.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах уполномоченное подразделение, а также правила привлечения для оценки эффективности функционирования системы управления операционным риском внешних экспертов.
4.1.5. Комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска.
Мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, включают:
реализацию кредитной организацией (головной кредитной организацией банковской группы) способов контроля, например, указанных в пунктах 10, 11, 15, 17, 18, 28 приложения 3 к настоящему Положению, на этапах процессов, в которых выявлены операционные риски;
изменение кредитной организацией (головной кредитной организацией банковской группы) процессов и распределение обязанностей для обеспечения исключения конфликта интересов;
документирование кредитной организацией (головной кредитной организацией банковской группы) результатов выполнения процедур контроля в процессах;
обеспечение кредитной организацией (головной кредитной организацией банковской группы) контроля совершения операций и сделок;
исключение совершения неконтролируемых кредитной организацией (головной кредитной организацией банковской группы) операций и сделок;
другие мероприятия, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) в зависимости от вида и характеристик процесса.
Мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включают:
установление кредитной организацией (головной кредитной организацией банковской группы) пороговых значений в отношении полномочий принятия решений и определения лимитов операционного риска, контроля за соблюдением полномочий;
внедрение кредитной организацией (головной кредитной организацией банковской группы) элементов автоматизации участков процессов, при выполнении которых выявлены операционные риски по причине ошибок работников;
разработку кредитной организацией (головной кредитной организацией банковской группы) планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем, включая автоматизированные системы, программные и (или) программно-аппаратные средства, телекоммуникационное оборудование и линии связи, эксплуатация и использование которых обеспечивается кредитной организацией (головной кредитной организацией банковской группы) для осуществления процессов и операций (далее - объекты информационной инфраструктуры), а также планов по обеспечению безопасности и целостности информационных систем и информации, в том числе в соответствии с требованиями главы 8 настоящего Положения, с учетом внешних факторов, влияющих на критически важный процесс и (или) информационную систему, в случае реализации операционного риска, включая систему быстрого реагирования на события операционного риска;
определение способа и порядка возмещения потерь от реализации событий операционного риска, например, с использованием переноса риска на участников финансового рынка, страхования;
юридическое обеспечение судебных процессов с участием кредитной организации (головной кредитной организации банковской группы);
юридическое сопровождение процессов, договоров и документации кредитной организации (головной кредитной организации банковской группы);
другие мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска.
Кредитная организация (головная кредитная организация банковской группы) в зависимости от осуществляемых операций и (или) действующих процессов определяет во внутренних документах комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска.
Головная кредитная организация банковской группы должна обеспечить выполнение комплекса мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, реализуемого у участников банковской группы.
4.1.6. Способы мотивации работников кредитной организации (головной кредитной организации банковской группы) к совершению следующих действий при участии в управлении операционным риском:
инициативное информирование работниками кредитной организации (головной кредитной организации банковской группы) о возможных операционных рисках и выявленных событиях операционного риска;
участие работников кредитной организации (головной кредитной организации банковской группы) в процедурах управления операционным риском, указанных в главе 2 настоящего Положения;
направление работниками кредитной организации (головной кредитной организации банковской группы) предложений по мероприятиям, направленным на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска;
реализация работниками кредитной организации (головной кредитной организации банковской группы) мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, указанных в подпункте 4.1.5 настоящего пункта;
другие действия работников кредитной организации (головной кредитной организации банковской группы) по участию в управлении операционным риском.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах способы мотивации работников кредитной организации (головной кредитной организации банковской группы) в участии в управлении операционным риском, включающие требование соблюдения контрольных показателей уровня операционного риска, установленных в соответствии с главой 5 настоящего Положения, а также категории работников, на которые распространяются способы мотивации, указанные в настоящем подпункте.
4.1.7. Отчеты по операционному риску и информация о событиях операционного риска, формируемые кредитной организацией (головной кредитной организацией банковской группы) в соответствии с пунктом 4.2 настоящего Положения.
4.2. Подразделение, ответственное за организацию управления операционным риском, формирует отчеты по операционному риску на ежеквартальной и ежегодной основе и обеспечивает ежедневное направление информации о событиях операционного риска или предоставление доступа к такой информации руководителю службы управления рисками.
4.2.1. Подразделение, ответственное за организацию управления операционным риском, ежедневно направляет руководителю службы управления рисками информацию о событиях операционного риска, зарегистрированных в базе событий за отчетную дату, предшествующую дате подготовке информации, об обстоятельствах их возникновения и их влиянии на соблюдение плановых (целевых) показателей уровня операционного риска, установленных в соответствии с пунктом 4.5 настоящего Положения, другую информацию (при наличии).
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок информирования руководителя службы управления рисками и критерии значимости событий операционного риска, включаемых в ежедневное информирование по операционному риску.
В случае если в кредитной организации (головной кредитной организации банковской группы) применяются программно-аппаратные средства, позволяющие обеспечить автоматизированное формирование информации из базы событий и ее направление в электронном виде руководителю службы управления рисками, а также организацию прямого доступа к базе событий (или другому информационному ресурсу) для самостоятельного просмотра (выгрузки) информации работниками службы управления рисками, кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок организации этих действий.
4.2.2. Подразделение, ответственное за организацию управления операционным риском, ежеквартально на определенную кредитной организацией (головной кредитной организацией банковской группы) отчетную дату формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) следующие отчеты:
об управлении операционным риском, содержащий информацию о событиях операционного риска и потерях кредитной организации (головной кредитной организации банковской группы, участников банковской группы) в разрезе элементов классификации событий операционного риска в соответствии с главой 3 настоящего Положения и отдельных видов операционного риска в соответствии с пунктом 1.4 настоящего Положения, содержащий информацию, указанную в подпункте 4.2.4 настоящего пункта, за исключением событий риска информационной безопасности, о результатах проведенных процедур управления операционным риском, в том числе о результатах процедуры количественной и качественной оценки уровня операционного риска, выбранных способах реагирования по результатам проведенной процедуры количественной и качественной оценки уровня операционного риска, результатах мониторинга операционного риска, результатах выполнения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска;
о событиях риска информационной безопасности;
о фактических значениях контрольных показателей уровня операционного риска (включая контрольные показатели риска информационной безопасности в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению).
4.2.3. Подразделение, ответственное за организацию управления операционным риском, ежегодно формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) отчет об управлении операционным риском за год, содержащий сведения о проведенных мероприятиях и работах, которые планируется провести в целях уменьшения негативного влияния риска операционного риска, а также информацию, указанную в абзацах втором - четвертом подпункта 4.2.2 настоящего пункта.
Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах порядок предоставления на рассмотрение совета директоров (наблюдательного совета) отчета об управлении операционным риском за год.
4.2.4. Информация о событиях операционного риска, включая события риска информационной безопасности, включается кредитной организацией (головной кредитной организацией банковской группы) в отчеты, указанные в подпункте 4.2.2 настоящего пункта, в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, типов событий операционного риска и источников операционного риска отдельно по видам операционного риска и содержит в том числе следующие показатели:
общее количество событий операционного риска - количество всех событий операционного риска, которые были зафиксированы в кредитной организации (головной кредитной организации банковской группы) с начала года до отчетной даты и в отчетном периоде;
количество событий операционного риска в разрезе прямых и косвенных потерь с начала года до отчетной даты и в отчетном периоде;
количество событий операционного риска в разрезе потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, с начала года до отчетной даты и в отчетном периоде;
сумма прямых и сумма косвенных потерь от реализации событий операционного риска кредитной организации (головной кредитной организации банковской группы, включая потери от реализации операционного риска участников банковской группы) в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска, указанных в пункте 3.12 и подпункте 3.13.1 пункта 3.13 настоящего Положения, с начала года до отчетной даты и в отчетном периоде;
сумма потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от реализации событий операционного риска кредитной организации (головной кредитной организации банковской группы в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;
сумма прямых и сумма косвенных потерь, отнесенных к потерям, указанным в подпункте 3.12.8 пункта 3.12 и абзаце седьмом подпункта 3.13.1 пункта 3.13 настоящего Положения в части потерь на восстановление деятельности, в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за отчетный период нарастающим итогом;
сумма прямых потерь от регуляторного риска, связанных с реализацией операционного риска и включаемых в состав валовых потерь от реализации событий операционного риска в соответствии с пунктом 6.10 настоящего Положения;
максимальная величина прямых и максимальная величина косвенных потерь от реализации одного события операционного риска с наибольшими потерями из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
максимальная величина потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от одного события операционного риска с наибольшими потерями из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
сумма прямых и сумма косвенных потерь от реализации пяти крупнейших (по сумме потерь) событий операционного риска из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
сумма потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от реализации пяти крупнейших (по сумме потерь) событий операционного риска из тех событий операционного риска, которые были зафиксированы у кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
сумма возмещений по потерям за счет не связанных с кредитной организацией (головной кредитной организацией банковской группы) лиц, которые были отражены на балансовых счетах кредитной организации (головной кредитной организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;
сумма возмещений по потерям за счет связанных с кредитной организацией (головной кредитной организацией банковской группы) юридических и физических лиц в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;
сумма чистых (фактических) потерь, определяемых в соответствии с требованиями пункта 6.18 настоящего Положения, которая была отражена на балансовых счетах кредитной организации (головной кредитной организации банковской группы) с начала года до отчетной даты и в отчетном периоде;
средняя величина прямых и средняя величина косвенных потерь от реализации одного события операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за отчетный период;
среднеквадратичное отклонение (сигма) величины прямых потерь по группам событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за год (включается в отчет в случае, если количество событий операционного риска за отчетный период составляет более 100);
распределение потерь от реализации событий операционного риска по группам (менее 20 тысяч рублей, от 20 тысяч рублей до 100 тысяч рублей, от 100 тысяч рублей до 350 тысяч рублей, от 350 тысяч рублей до 700 тысяч рублей, от 700 тысяч рублей до 1 400 тысяч рублей, более 1 400 тысяч рублей).
4.2.5. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) рассматривает в установленные во внутренних документах кредитной организации (головной кредитной организации банковской группы) сроки (но не позднее двадцати рабочих дней со дня получения на рассмотрение) отчеты по операционным рискам кредитной организации (головной кредитной организации банковской группы) и дает поручения по разработке мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, с указанием ответственных за реализацию мероприятий подразделений и сроков выполнения.
Отчеты по операционным рискам должны храниться кредитной организацией (головной кредитной организацией банковской группы) не менее десяти лет со дня рассмотрения коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).
4.3. Кредитная организация (головная кредитная организация банковской группы) дополнительно устанавливает во внутренних документах следующие требования.
4.3.1. Требования к информационной системе, обеспечивающей управление операционным риском и включающей автоматизацию ведения базы событий и процедур управления операционным риском.
Кредитная организация (головная кредитная организации банковской группы) организует информационный обмен информационной системы, обеспечивающей управление операционным риском, с другими информационными системами кредитной организации (головной кредитной организации банковской группы), позволяющими получать первичную информацию о сбоях систем и оборудования, об ошибках, отклонениях в процессах кредитной организации (головной кредитной организации банковской группы) и о реализации событий операционного риска, в зависимости от осуществляемых операций и (или) действующих процессов.
4.3.2. Требования к управлению модельным риском, включающие соблюдение следующих процедур:
выявление потенциальных ошибок в процессах разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов (далее - модели оценки активов), включая оценку влияния этих ошибок на качество и прогнозную точность моделей оценки активов;
выявление недостоверности и неполноты данных, использованных при разработке и проверке моделей оценки активов, включая в том числе оценку влияния этих ошибок на качество моделей оценки активов, например, приводящих к невозможности определения значения одного или нескольких входных параметров модели оценки активов или существенных факторов, использованных в модели оценки активов;
контроль за разработкой моделей оценки активов, проверка правильности применения методик и технологий моделирования, в том числе правильности постановки задачи на разработку, принимаемых допущений, использования в моделях оценки активов всех существенных факторов, оценки прогнозной точности моделей оценки активов, контроль за соответствием моделей оценки активов условиям внешней среды и внешним и внутренним факторам их применения;
выявление ошибок в процессах регистрации, учета и отчетности о результатах разработки и применения моделей оценки активов;
контроль за полнотой документации о разработке моделей оценки активов и ее применением;
контроль за своевременностью калибровки моделей оценки активов, связанной с изменением внешних и внутренних факторов их применения и поступлением новых данных, свидетельствующих о снижении качества моделей оценки активов и их прогнозной точности;
валидация моделей оценки активов (подразделением кредитной организации (головной кредитной организации банковской группы) и (или) внешними экспертами);
контроль качества валидации моделей оценки активов, в том числе корректности применения валидационных тестов и критериев, включая контроль за правильностью интерпретации результатов валидации и реагирования на эти результаты;
контроль за внедрением моделей оценки активов в промышленную эксплуатацию, в том числе за имплементацией программного кода в автоматизированные системы кредитной организации (головной кредитной организации банковской группы);
выявление ошибок в интерпретации результатов моделей оценки активов для принятия управленческих решений и бизнес-решений в кредитной организации (головной кредитной организации банковской группы), в том числе связанных с использованием моделей оценки активов в предметных областях, для которых они не разрабатывались и не валидировались.
4.4. Уполномоченное подразделение кредитной организации (головной кредитной организации банковской группы) в соответствии с порядком, указанном в подпункте 4.1.4 пункта 4.1 настоящего Положения, ежегодно осуществляет оценку эффективности функционирования системы управления операционным риском, включающую оценку:
полноты и точности информации, отраженной в базе событий, а также корректности ведения базы событий;
корректности определения вида и величины потерь от реализации событий операционного риска;
соблюдения установленных кредитной организацией (головной кредитной организацией банковской группы) в политике управления операционным риском и в других внутренних документах требований и процедур управления операционным риском;
корректности проведенных оценок величины потерь от реализации событий операционного риска;
комплекса мероприятий, разрабатываемого в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения;
эффективности мер, направленных на уменьшение негативного влияния операционного риска;
соблюдения других требований настоящего Положения.
4.5. Кредитная организация (головная кредитная организация банковской группы) в целях осуществления контроля за объемом операционного риска, принятым в кредитной организации (головной кредитной организацией банковской группы), в соответствии с пунктом 3.4 Указания Банка России N 3624-У разрабатывает и устанавливает плановые (целевые) показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, которые формируются кредитной организацией (головной кредитной организацией банковской группы) на основе следующих данных, характеризующих объемы операций, подверженных операционному риску за определенный период (день, неделя, месяц, квартал, полугодие, девять месяцев, год):
количество сделок, операций, транзакций;
объем сделок, операций, транзакций в денежном выражении в рублях;
количество платежей, осуществленных через корреспондентский счет кредитной организации (головной кредитной организации банковской группы) и другие корреспондентские счета;
доход за год для целей расчета капитала на покрытие операционного риска;
обороты по счетам бухгалтерского учета;
другие данные.
Кредитная организация (головная кредитная организация банковской группы) соотносит данные, характеризующие объем операций, с зарегистрированными в базе событий потерями и определяет показатели уровня операционного риска, порядок соблюдения которых устанавливается кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах.
4.6. Подразделение, ответственное за организацию управления операционным риском, проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра требований политики управления операционным риском в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов, результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, изменений в стратегии управления рисками и капиталом и направляет результаты анализа на рассмотрение коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы) для принятия решения о необходимости внесения изменений во внутренние документы, указанные в подпунктах 4.1.2 и 4.1.3 пункта 4.1 настоящего Положения.