Приложение 1. КОНТРОЛЬНЫЕ ПОКАЗАТЕЛИ УРОВНЯ ОПЕРАЦИОННОГО РИСКА

Приложение 1
к Положению Банка России
от 8 апреля 2020 года N 716-П
"О требованиях к системе управления
операционным риском в кредитной
организации и банковской группе"

КОНТРОЛЬНЫЕ ПОКАЗАТЕЛИ УРОВНЯ ОПЕРАЦИОННОГО РИСКА

1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок установления и контроля соблюдения следующих контрольных показателей уровня операционного риска в соответствии с главами 5 и 9 настоящего Положения.

1.1. Базовый набор показателей системы управления операционным риском включает следующие показатели.

1.1.1. Количественные контрольные показатели:

общая сумма валовых прямых потерь, понесенных кредитной организацией от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;

отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за годовой период, к базовому капиталу кредитной организации на последнюю отчетную дату года;

отношение общей суммы чистых (фактических) прямых потерь (включая чистые (фактические) прямые потери от реализации событий риска информационной безопасности), понесенных кредитной организацией за год, к показателю объема операционного риска в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения Банка России N 652-П на последнюю отчетную дату (далее - показатель объема операционного риска);

отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за год, к показателю объема операционного риска;

отношение суммы чистых (фактических) прямых потерь от реализации событий операционного риска, рассчитанных в соответствии с пунктом 6.18 настоящего Положения, понесенных кредитной организацией за год, за вычетом потерь от реализации событий риска информационной безопасности к показателю объема операционного риска;

доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с валовыми прямыми потерями, превышающими порог регистрации (за исключением потерь от реализации событий кредитного риска, связанного с реализацией операционного риска), определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, по отношению ко всем зарегистрированным в базе событий событиям операционного риска с валовыми прямыми потерями (за исключением потерь от реализации кредитного риска), превышающими порог регистрации (за исключением потерь от кредитного риска), за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);

отношение сумм валовых прямых потерь от реализации выявленных в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с прямыми потерями, превышающими порог регистрации (за исключением потерь от реализации событий кредитного риска, связанных с реализацией операционного риска), определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, к общей сумме валовых прямых потерь от реализации всех событий операционного риска, зарегистрированных в базе событий с прямыми потерями (за исключением потерь от реализации событий кредитного риска, связанных с реализацией операционного риска), превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);

общая сумма валовых прямых и косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом потерь от реализации событий риска информационной безопасности, за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;

отношение суммы чистых (фактических) прямых и косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом потерь от реализации событий риска информационной безопасности к общему капиталу (собственным средствам) кредитной организации на последнюю отчетную дату года;

другие количественные показатели, определяемые кредитной организацией в стратегии управления рисками и капиталом.

1.1.2. Качественные контрольные показатели, к которым относятся качественные оценки по четырехуровневой системе ("хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно") по следующим направлениям:

оценка эффективности функционирования системы управления операционным риском, проведенная уполномоченным подразделением в соответствии с пунктом 4.4 настоящего Положения;

другие качественные показатели, определяемые кредитной организацией в стратегии управления рисками и капиталом.

1.1.3. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет лимиты операционного риска на основе установленных в политике управления операционным риском значений уровней контрольных показателей путем их распределения по направлениям деятельности, в том числе в разрезе составляющих их процессов, подразделениям, видам операционного риска (риск информационной безопасности, риск информационных систем, операционный риск в целом) в соответствии с абзацами вторым - восьмым, одиннадцатым подпункта 1.1.1 настоящего пункта.

1.2. Базовый набор контрольных показателей уровня риска информационной безопасности включает следующие показатели.

1.2.1. Количественные контрольные показатели риска информационной безопасности:

общая сумма валовых прямых потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;

общая сумма валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;

отношение общей суммы чистых (фактических) прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за отчетный период (первый квартал, полугодие, девять месяцев, год), к базовому капиталу кредитной организации на последнюю отчетную дату года;

отношение суммы валовых прямых потерь, понесенных кредитной организацией при выполнении кредитной организацией функций участника платежной системы Банка России, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме операций по переводу денежных средств через платежную систему Банка России за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение - не более 0,005 процента);

отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств и платежей в платежных системах за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение - не более 0,005 процента);

отношение суммы денежных средств, по которой получены уведомления клиентов о несанкционированном переводе (списании) денежных средств, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов за этот же период (контрольное значение должно быть не более 0,05 процентов, сигнальное значение - не более 0,005 процента);

доля реализованных (по количеству), то есть не предотвращенных системой информационной безопасности кредитной организации, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь по отношению ко всем событиям риска информационной безопасности, зарегистрированным в базе событий, с ненулевой величиной валовых прямых потерь в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года), о которых кредитная организация сообщила в своих отчетах в Банк России, направляемых в соответствии с пунктом 8 Положения Банка России N 683-П;

доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых кредитная организация не сообщила в своих отчетах в Банк России, направляемых в соответствии с пунктом 8 Положения Банка России N 683-П, по отношению ко всем зарегистрированным событиям риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых кредитная организация сообщила в своих отчетах в Банк России, направляемых в соответствии с пунктом 8 Положения Банка России N 683-П;

общая сумма валовых прямых и косвенных потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска (в случае, если кредитная организация применяет подход количественной оценки потерь от реализации операционного риска на основе статистики базы событий (с использованием статистики за период не менее пяти лет) с использованием методов, применяемых в международной практике (далее - продвинутый подход);

отношение суммы чистых (фактических) прямых и косвенных потерь от событий риска информационной безопасности к собственным средствам (капиталу) кредитной организации на последнюю отчетную дату года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);

отношение суммы валовых прямых и косвенных потерь, понесенных кредитной организацией при выполнении кредитной организацией функций оператора других платежных систем или оператора услуг платежной инфраструктуры, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме операций по переводу денежных средств через другие платежные системы или платежную инфраструктуру за этот же период (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);

общая сумма валовых прямых и косвенных потерь кредитной организации в результате использования электронных средств платежа клиентов кредитных организаций без их согласия за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);

общая сумма валовых прямых и косвенных потерь кредитной организации в результате переводов и снятия денежных средств, связанных с несанкционированным доступом к объектам информационной инфраструктуры кредитной организации, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска).

1.2.2. Качественные контрольные показатели риска информационной безопасности, к которым относятся качественные оценки по четырехуровневой системе ("хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно") по следующим направлениям:

оценка эффективности функционирования системы управления риском информационной безопасности, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета директоров (наблюдательного совета) кредитной организации;

для кредитных организаций - участников платежной системы Банка России - оценка соблюдения кредитной организацией требований Положения Банка России N 382-П, Положения Банка России N 683-П, Положения Банка России от 9 января 2019 года N 672-П "О требованиях к защите информации в платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 21 марта 2019 года N 54109;

для кредитных организаций - независимая оценка соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями пункта 9 Положения Банка России N 683-П.

2. Дочерние кредитные организации, осуществляющие свою деятельность в иностранной юрисдикции, в случае противоречия национального законодательства требованиям настоящего Положения приводят в соответствие с требованиями национального законодательства показатели, указанные в настоящем приложении.