ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
РАЗЪЯСНЕНИЕ
от 25 апреля 2022 г. N 716-Р-2021/63
РЕКОМЕНДАЦИИ
ПО ОСУЩЕСТВЛЕНИЮ ОЦЕНКИ ЭФФЕКТИВНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ
ОПЕРАЦИОННЫМ РИСКОМ
В соответствии с пунктом 4.4 Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П) уполномоченное подразделение кредитной организации должно проводить ежегодную оценку эффективности функционирования системы управления операционным риском, в том числе оценку эффективности выполнения принятых в кредитной организации (головной кредитной организации банковской группы) процедур управления операционным риском.
В связи с этим Банк России публикует рекомендации по осуществлению оценки эффективности системы управления операционным риском в кредитной организации (головной кредитной организации банковской группы), разработанные в соответствии с Положением N 716-П.
РЕКОМЕНДАЦИИ
ПО ОСУЩЕСТВЛЕНИЮ ОЦЕНКИ ЭФФЕКТИВНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ
ОПЕРАЦИОННЫМ РИСКОМ В КРЕДИТНОЙ ОРГАНИЗАЦИИ (ГОЛОВНОЙ
КРЕДИТНОЙ ОРГАНИЗАЦИИ БАНКОВСКОЙ ГРУППЫ)
1. Цели и задачи аудита эффективности СУОР
1.1. В соответствии с требованиями Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П) кредитной организации (головной кредитной организации банковской группы) (далее - кредитная организация) необходимо осуществлять ежегодную оценку эффективности функционирования системы управления операционным риском (далее - СУОР). Данную оценку рекомендуется осуществлять, в том числе на предмет:
- соответствия СУОР кредитной организации требованиям Банка России (Положения N 716-П, Положения Банка России от 07.12.2020 N 744-П "О порядке расчета размера операционного риска ("Базель III") и осуществления Банком России надзора за его соблюдением" (далее - Положение N 744-П), пункту 11 и главе 4 приложения 1 к Указанию Банка России от 15.04.2015 N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы" (далее - Указание N 3624-У)) и внутренних документов кредитной организации (стратегии управления рисками и капиталом кредитной организации, внутренних документов кредитной организации по функционированию СУОР);
- эффективности методов оценки операционного риска в кредитной организации, включая определение потребности в капитале, выделяемого на покрытие потерь от реализации событий операционного риска (далее - СОР);
- соблюдения процедур управления операционным риском, предусмотренных в главе 2 Положения N 716-П, а также идентификации системных проблем в их организации;
- корректности и полноты ведения базы событий, соответствия порядка ведения базы событий требованиям главы 6 Положения N 716-П;
- соответствия классификации СОР требованиям главы 3 Положения N 716-П;
- корректности классификации и оценки потерь и возмещений от реализации СОР, с учетом требований главы 3 и главы 6 Положения N 716-П;
- соблюдения требований главы 7 Положения N 716-П в части управления риском информационной безопасности;
- соблюдение требований главы 8 Положения N 716-П в части управления риском информационных систем;
- вовлеченности органов управления кредитной организации (совета директоров (наблюдательного совета), коллегиального исполнительного органа, специализированных комитетов и т.д.) в управление операционным риском, распределении полномочий и ответственности между руководителями по выполнению функций и задач СУОР;
- создания организационной структуры управления операционным риском, в которую вовлечены все структурные подразделения и работники кредитной организации, при этом управление операционным риском осуществляется ими неразрывно от исполнения своих основных функций, с учетом исключения конфликта интересов.
1.2. В случае подачи кредитной организацией уведомления о применении расчетного коэффициента внутренних потерь для расчета размера операционного риска в целях расчета нормативов достаточности капитала (далее - уведомление о применении расчетного КВП) в соответствии с требованиями Положения N 744-П, должно быть сформировано заключение:
- о соответствии СУОР кредитной организации требованиям Положения N 716-П;
- о полноте и точности информации, отраженной в базе событий, и корректности ведения базы событий за период, используемый для расчета расчетного КВП (далее - период расчета ПП);
- о соблюдении контрольных показателей уровня операционного риска (далее - КПУР), установленных абзацами седьмым и восьмым подпункта 1.1.1 пункта 1 приложения 1 к Положению N 716-П, за период расчета ПП.
Проверка должна быть завершена уполномоченным подразделением не более, чем за 3 месяца до даты направления кредитной организацией уведомления о применении расчетного КВП в Банк России.
2. Программа оценки эффективности СУОР кредитной организации
В программу оценки эффективности СУОР кредитной организации рекомендуется включать вопросы по следующим направлениям:
- оценка организации СУОР кредитной организации в соответствии с пунктом 2.1 настоящих разъяснений;
- оценка полноты регламентации СУОР во внутренних документах кредитной организации в соответствии с пунктом 2.2 настоящих разъяснений;
- оценка качества выполнения процедур управления операционным риском в соответствии с пунктом 2.3 настоящих разъяснений;
- оценка контроля за принятым объемом операционного риска в кредитной организации в соответствии с пунктом 2.4 настоящих разъяснений;
- оценка эффективности управления риском информационной безопасности в кредитной организации в соответствии с пунктом 2.5 настоящих разъяснений;
- оценка эффективности управления риском информационных систем в кредитной организации в соответствии с пунктом 2.6 настоящих разъяснений;
- оценка эффективности системы отчетов об управлении операционным риском в кредитной организации в соответствии с пунктом 2.7 настоящих разъяснений;
- оценка эффективности системы КПУР в соответствии с пунктом 2.8 настоящих разъяснений.
2.1. Оценка организации СУОР кредитной организации
В рамках оценки организации СУОР рекомендуется убедиться, что в СУОР кредитной организации вовлечены все структурные подразделения и сотрудники кредитной организации, управление операционным риском осуществляется ими неразрывно от исполнения своих основных функций, данные о СОР и потерях от реализации СОР охватывают всю деятельность кредитной организации, все подразделения, организационные, информационные и технологические системы и регионы присутствия кредитной организации.
Оценку организации СУОР кредитной организации рекомендуется осуществлять по следующим направлениям.
2.1.1. Участие совета директоров (наблюдательного совета) кредитной организации в функционировании СУОР путем:
- отражения соответствующих задач во внутренних документах кредитной организации (например, Уставе, Положении о совете директоров (наблюдательном совете));
- исполнения обязанности по рассмотрению отчетов, предусмотренных подпунктом 4.2.3 пункта 4.2 Положения N 716-П (возможно в составе отчетов по значимым рискам в рамках ВПОДК), а также результатов процедуры мониторинга операционного риска. В рамках данной оценки рекомендуется проводить анализ Протоколов решений на предмет наличия соответствующих поручений коллегиальным исполнительным органам кредитной организации, руководителю Службы внутреннего аудита, иным должностным лицам кредитной организации (в случае отражения в вышеуказанных отчетах информации о существенных СОР, негативных тенденциях уровня операционного риска, превышении целевых показателей КПУР и ключевых индикаторов риска (далее - КИР) и иных недостатков и нарушениях в функционировании СУОР);
- утверждения сигнальных и контрольных (далее - целевых) значений КПУР на плановый годовой период в целом по кредитной организации и выполнение иных функций, предусмотренных пунктом 5.2 Положения N 716-П;
- рассмотрения отчета о результатах оценки эффективности выполнения процедур управления операционным риском, проводимой в соответствии с пунктом 2.5 Положения N 716-П.
2.1.2. Участие коллегиального исполнительного органа кредитной организации в функционировании СУОР путем:
- отражения соответствующих задач во внутренних документах кредитной организации;
- исполнения обязанности по рассмотрению отчетов, предусмотренных подпунктами 4.2.2 и 4.2.3 пункта 4.2 Положения N 716-П (возможно в составе отчетов о значимых рисках в рамках ВПОДК). В рамках данной оценки рекомендуется проводить анализ Протоколов заседаний на предмет наличия соответствующих поручений руководителю Службы внутреннего аудита, иным должностным лицам кредитной организации в случае отражения в вышеуказанных отчетах информации о существенных СОР, негативных тенденциях уровня операционного риска, превышении целевых показателей КПУР и КИР и иных недостатков и нарушениях в функционировании СУОР;
- утверждения целевых значений КПУР в разрезе направлений деятельности, в том числе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса;
- утверждения плана проведения качественной оценки в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П;
- рассмотрения отчета о результатах оценки эффективности выполнения процедур управления операционным риском, производимой в соответствии с пунктом 2.5 Положения N 716-П;
- рассмотрения результатов анализа необходимости пересмотра требований политики управления операционным риском в соответствии с пунктом 4.6 Положения N 716-П;
- ежегодного принятия решения о необходимости внесения изменений во внутренние документы, указанные в подпунктах 4.1.2 и 4.1.3 пункта 4.1 Положения N 716-П.
2.1.3. Создание и функционирование подразделения, ответственного за организацию управления операционным риском, структурно входящего в службу управления рисками кредитной организации.
2.1.4. Назначение специализированных подразделений в значении, определенном в абзаце седьмом пункта 1.3 Положения N 716-П, в целях выполнения процедур управления операционным риском в части отдельных видов операционного риска, указанных в пункте 1.4 Положения N 716-П, или, в случае отсутствия специализированного подразделения по отдельному виду операционного риска, закрепление во внутренних документах кредитной организации функции по управлению данным видом операционного риска за службой управления рисками.
2.1.5. Определение во внутренних документах кредитной организации перечня процессов кредитной организации, отнесенных к направлениям деятельности, указанным в пункте 3.9 Положения N 716-П, с указанием уровня их критичности, функций подразделений, ответственных за осуществление операций и сделок и за результаты процесса, и подразделений - участников процессов в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П (далее - перечень процессов).
2.1.6. Назначение для каждого процесса кредитной организации в соответствии с перечнем процессов:
- центров компетенций в значении, определенном в абзаце восьмом пункта 1.3 Положения N 716-П, в том числе подразделений, ответственных за осуществление операций и сделок и за результаты процесса (далее - владельцы процесса);
- подразделений - участников процессов в значении, определенном в пункте 2.2 Положения N 716-П.
2.1.7. Определение порядка организации взаимодействия структурных подразделений кредитной организации, участвующих в управлении операционным риском (в том числе специализированных подразделений, центров компетенции и подразделения, ответственного за организацию управления операционным риском), включая порядок документооборота.
2.2. Оценка полноты регламентации СУОР во внутренних документах кредитной организации
В рамках оценки регламентации СУОР рекомендуется проверять наличие действующих и утвержденных советом директоров (наблюдательным советом), коллегиальным исполнительным органом или должностным лицом кредитной организации внутренних документов, регламентирующих процесс управления операционным риском в кредитной организации в соответствии с требованиями Положения N 716-П (далее - внутренние документы) <1>, а также наличие в данных внутренних документах следующей информации.
--------------------------------
<1> Рекомендуемый перечень внутренних документов по управлению операционным риском в кредитной организации размещен на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Разъяснения по формированию внутренних документов по управлению операционным риском".
2.2.1. Определение операционного риска в соответствии со значением, установленным в пункте 4.1 приложения 1 к Указанию N 3624-У, и видов операционного риска в соответствии с требованиями пункта 1.4 Положения N 716-П.
2.2.2. Отражение в Положениях о структурных подразделениях кредитной организации (в первую очередь, специализированных подразделений, центров компетенций, в том числе владельцев процессов, участников процессов) выполняемых ими функций и задач в рамках СУОР в соответствии с требованиями Положения N 716-П.
2.2.3. Определение полномочий руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственности за выявление операционного риска, присущего деятельности данных подразделений.
2.2.4. Определение требований к выполнению процедур управления операционным риском, указанных в главе 2 Положения N 716-П.
2.2.4.1. Определение требований к процедуре идентификации операционного риска в соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П, в том числе следующие:
- способы выполнения процедуры идентификации операционного риска в соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П;
- порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 Положения N 716-П.
2.2.4.2. Определение требований к процедуре сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П, в том числе следующие:
- способы выполнения процедуры сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П;
- центров компетенций (см. подпункт 2.1.6 пункта 2.1 настоящих разъяснений);
- правил предоставления информации об идентифицированных СОР центрами компетенций в подразделение, ответственное за организацию управления операционным риском, с учетом требований абзаца тринадцатого подпункта 2.1.2 пункта 2.1 Положения N 716-П;
- возложение на центры компетенций (их руководителей) ответственности за соблюдение целевых значений КПУР, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П, в разрезе центров компетенций.
2.2.4.3. Определение требований к процедуре определения потерь и возмещений потерь от реализации СОР в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П, в том числе следующие:
- способы выполнения процедуры определения потерь и возмещений потерь от реализации СОР в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П.
2.2.4.4. Определение требований к процедуре количественной оценки уровня операционного риска в соответствии с подпунктом 2.1.4 пункта 2.1 Положения N 716-П, в том числе следующие:
- способы выполнения процедуры количественной оценки уровня операционного риска, в том числе с использованием средств автоматизации, в соответствии с подпунктом 2.1.4 пункта 2.1 Положения N 716-П;
- методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска.
2.2.4.5. Определение требований к процедуре качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П, включая методы оценки и анализа вероятности реализации операционного риска, в том числе следующие:
- способы выполнения процедуры качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П;
- правила привлечения внешних экспертов к проведению качественной оценки уровня операционного риска;
- методы проведения процедуры качественной оценки уровня операционного риска, в том числе с использованием средств автоматизации;
- обязанность подразделения, ответственного за организацию управления операционным риском, по разработке плана проведения качественной оценки в значении, установленном в абзаце шестом подпункта 2.1.5 пункта 2.1 Положения N 716-П;
- требования к проведению самооценки операционного риска подразделениями кредитной организации, а также методика ее проведения, с учетом требований абзацев восьмого - тринадцатого подпункта 2.1.5 пункта 2.1 Положения N 716-П;
- требования к проведению профессиональной оценки уровня операционного риска и методика ее проведения в соответствии с требованиями абзацев четырнадцатого - пятнадцатого подпункта 2.1.5 пункта 2.1 Положения N 716-П;
- методика сценарного анализа операционных рисков и порядок его проведения.
2.2.4.6. Определение требований к процедуре выбора и применение способа реагирования на операционный риск в соответствии с подпунктом 2.1.6 пункта 2.1 Положения N 716-П, в том числе следующие:
- способы выполнения процедуры выбора и применения способа реагирования на операционный риск в соответствии с подпунктом 2.1.6 пункта 2.1 Положения N 716-П;
- порядок проведения процедуры выбора и применения способа реагирования на операционный риск, в том числе методы оценки стоимости выбранного способа реагирования.
2.2.4.7. Определение требований к процедуре мониторинга операционного риска в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П, в том числе следующие:
- способы выполнения процедуры мониторинга операционного риска в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П;
- правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска;
- требования к КИР и к их документированию, с учетом требований абзацев десятого - двадцатого подпункта 2.1.7 пункта 2.1 Положения N 716-П;
- периодичность проведения оценки в целях пересмотра КИР (не реже одного раза в год).
2.2.5. Утверждение классификатора СОР, соответствующего требованиям главы 3 Положения N 716-П и требованиям приложений 4 и 5 к Положению N 716-П.
2.2.6. Определение требований к дополнительным элементам СУОР, указанным в пункте 4.1 Положения N 716-П, включая следующие:
- утверждение перечня процессов в соответствии с требованиями подпункта 4.1.1 пункта 4.1 Положения N 716-П, с учетом рекомендаций, указанных в подпунктах 2.1.5 и 2.1.6 настоящих разъяснений;
- утверждение политики управления операционным риском и внутренних документов в соответствии с требованиями подпунктов 4.1.2 и 4.1.3 пункта 4.1 Положения N 716-П, с учетом рекомендаций, указанных в подпункте 2.1.8 пункта 2.1 настоящих разъяснений;
- определение подразделения кредитной организации уполномоченного, осуществлять оценку эффективности функционирования СУОР, и порядка проведения данной оценки, в соответствии с требованиями подпункта 4.1.4 пункта 4.1 Положения N 716-П;
- правила привлечения для оценки эффективности функционирования СУОР внешних экспертов и порядок проведения данной оценки организацией, осуществляющей внешний аудит в соответствии с требованиями подпункта 4.1.4 пункта 4.1 Положения N 716-П;
- комплекс мероприятий кредитной организации, направленных на повышение качества СУОР и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности СОР, и мероприятия, направленные на ограничение размера потерь от реализации СОР, в соответствии с подпунктом 4.1.5 пункта 4.1 Положения N 716-П;
- способы мотивации работников кредитной организации к участию в управлении операционным риском в соответствии с требованиями подпункта 4.1.6 пункта 4.1 Положения N 716-П, с учетом рекомендаций, указанных в подпункте 2.12.2.2 и 2.12.2.3 пункта 2.12 настоящих разъяснений;
- отчеты по операционному риску и информация о СОР, формируемые кредитной организацией в соответствии с пунктом 4.2 Положения N 716-П с учетом подпункта 2.2.7 пункта 2.2 настоящих разъяснений.
2.2.7. Определение требований к системе отчетов по операционному риску, с учетом пункта 4.2 Положения N 716-П, включая следующее.
2.2.7.1. В рамках ежедневного информирования в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П:
- определение в функционале подразделения, ответственного за организацию управления операционным риском, обязанности ежедневного информирования руководителя службы управления рисками о СОР, зарегистрированных в базе событий за отчетную дату (далее - ежедневное информирование о СОР), и в функционале руководителя службы управления рисками обязанности ежедневного рассмотрения вышеуказанной информации;
- порядок осуществления ежедневного информирования о СОР и критерии значимости СОР, включаемых в ежедневное информирование по операционному риску;
- порядок организации действий в случае применения программно-аппаратных средств, позволяющих обеспечить автоматизированное ежедневное информирование о СОР.
2.2.7.2. В рамках ежеквартального формирования отчетов, указанных в подпункте 4.2.2 пункта 4.2 Положения N 716-П (далее - ежеквартальные отчеты по операционному риску):
- определение в функционале подразделения, ответственного за организацию управления операционным риском, обязанности формирования и направления руководителю службы управления рисками ежеквартальных отчетов по операционному риску;
- определение в функционале коллегиальных исполнительных органов, уполномоченных на рассмотрение ежеквартальных отчетов по операционному риску, обязанности по их рассмотрению с учетом рекомендаций, указанных в подпункте 2.1.2 пункта 2.1 настоящих разъяснений;
- определение сроков рассмотрения коллегиальным исполнительным органом ежеквартальных отчетов по операционному риску в соответствии с требованиями подпункта 4.2.5 пункта 4.2 Положения N 716-П.
2.2.7.3. В рамках формирования отчета по управлению операционным риском за год в соответствии с требованиями подпункта 4.2.3 пункта 4.2 Положения N 716-П (далее - отчет по операционному риску за год):
- определение в функционале подразделения, ответственного за организацию управления операционным риском, обязанности формирования и направления руководителю службы управления рисками отчета по операционному риску за год;
- определение в функционале руководителя службы управления рисками, коллегиального исполнительного органа и совета директоров (наблюдательного совета) обязанности по рассмотрению отчета по операционному риску за год;
- порядок предоставления на рассмотрение совета директоров (наблюдательного совета) отчета по операционному риску за год и сроки его рассмотрения.
2.2.7.4. Определение методики и порядка составления отчетов по операционному риску, включая следующие элементы:
- форматы отчетов и состав содержащейся в них информации, с учетом требований к содержанию отчетов, указанных в подпунктах 4.2.2 и 4.2.4 пункта 4.2 Положения N 716-П;
- документооборот, сроки и потоки информации, необходимые для составления отчетов;
- ответственность подразделений и должностных лиц за полное, корректное и своевременное предоставление информации в подразделение, ответственное за организацию управления операционным риском, в целях составления отчетов;
- сроки предоставления отчетов на рассмотрение коллегиальным исполнительным органам и советом директоров (наблюдательным советом) кредитной организации;
- порядок и сроки хранения отчетов в соответствии с требованиями подпункта 4.2.5 пункта 4.2 Положения N 716-П.
2.2.8. Требования к информационной системе, обеспечивающей управление операционным риском, в соответствии с подпунктом 4.3.1 пункта 4.3 Положения N 716-П <2>.
--------------------------------
<2> Обязательно для банков, размер активов которого составляет 500 миллиардов рублей и более, для иных кредитных организаций - в зависимости от характера и масштаба деятельности с учетом политики управления операционным риском кредитной организации.
2.2.9. Требования к управлению модельным риском в соответствии с подпунктом 4.3.2 пункта 4.3 Положения N 716-П <2>.
2.2.10. Определение показателей уровня операционного риска и порядка их соблюдения в соответствии с пунктом 4.5 Положения N 716-П.
2.2.11. Проведение подразделением, ответственным за организацию управления операционным риском, регулярного (не реже одного раза в год) анализа необходимости пересмотра требований политики управления операционным риском и внутренних документов кредитной организации.
Рекомендуется проводить путем проверки Протоколов заседаний уполномоченных коллегиальных исполнительных органов и совета директоров (наблюдательного совета) на наличие в них рассмотрения соответствующих вопросов.
2.2.12. Установление порядка ведения и использования базы событий (например, Порядком ведения базы событий <3>).
--------------------------------
<3> Рекомендуемый перечень внутренних документов по управлению операционным риском в кредитной организации размещен на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Разъяснения по формированию внутренних документов по управлению операционным риском".
2.2.12.1. Отражение во внутренних документах кредитной организации, регламентирующих порядок ведения базы событий, в том числе следующей информации:
- порядка ведения базы событий консолидировано по банковской группе с учетом потерь от реализации операционного риска у участников банковской группы, в соответствии с пунктом 6.3 Положения N 716-П;
- порога регистрации, установленного кредитной организацией для отражения в базе событий информации о СОР, в соответствии с пунктом 6.5 Положения N 716-П;
- требований к форме и содержанию вводимой информации, в соответствии с пунктом 6.6 Положения N 716-П;
- порядка учета величины валовых прямых потерь в соответствии с подпунктом 6.7.1 пункта 6.7 Положения N 716-П;
- порядка идентификации прямых потерь и возмещений в разрезе всех СОР, повлекших потери, в соответствии с подпунктом 6.7.2 пункта 6.7 Положения N 716-П;
- критериев однородности СОР для целей их группировки в соответствии с пунктом 6.12 Положения N 716-П;
- порядка контроля за своевременностью отражения возмещения потерь от реализации СОР в соответствии с пунктом 6.16 Положения N 716-П;
- порядка верификации корректности исправления записи в базе событий в соответствии с пунктом 6.20 Положения N 716-П;
- перечня должностей работников кредитной организации, ответственных за выполнение функций, указанных в пункте 6.21 Положения N 716-П.
2.2.12.2. Установление внутренними документами кредитной организации способов мотивации работников кредитной организации к своевременному информированию о реализованных и возможных СОР, (дополнительно см. пункт 5.1 настоящих разъяснений), например, в том числе:
- определение мер ответственности работников кредитной организации за неинформирование или несвоевременное информирование о СОР, о котором им стало известно.
В случае выявления факта не уведомления о СОР, нарушения сроков уведомления, не регистрации или несвоевременной регистрации СОР к допустившим нарушения работникам кредитной организации должны применяться меры дисциплинарной ответственности в соответствии с установленным в кредитной организации порядком. Руководитель риск-координатора несет ответственность за организацию и контроль своевременного предоставления информации об инциденте операционного риска и в случае выявления факта непредоставления и (или) несвоевременного предоставления риск-координатором информации об инциденте операционного риска риск-менеджеру в отношении руководителя риск-координатора также применяются меры дисциплинарного взыскания в соответствии с установленным в кредитной организации порядком;
- определение инструментов поощрения за инициативное информирование работниками кредитной организации о выявленных ими СОР.
2.2.12.3. Установление внутренними документами кредитной организации ответственности руководителей центров компетенций, в том числе владельцев процессов, кредитной организации за выявление и регистрацию СОР, возникающих в рамках их процессов, в соответствии с пунктом 1.3 и подпунктом 2.1.2 пункта 1.2 Положения N 716-П, в том числе:
- за назначение в каждом подразделении, входящем в состав возглавляемого ими структурного подразделения уполномоченных сотрудников за выявление СОР (далее - риск-координаторов), ответственных за осуществление идентификации, оценки, мониторинга и контроля операционного риска в рамках осуществления текущей деятельности подразделений и бизнес-процесса в соответствии с пунктом 6.21 Положения N 716-П. Риск-координатор должен быть назначен соответствующим распорядительным документом кредитной организации для каждого центра компетенции, в том числе владельца процесса. Список риск-координаторов должен быть актуален;
- за поддержание списков риск-координаторов в актуальном состоянии и за своевременное информирование подразделения рисков об изменениях в них;
- за организацию информационного обмена о произошедших СОР в соответствии с абзацем тринадцатым подпункта 2.1.2 пункта 2.1 Положения N 716-П;
- за возложение на риск-координаторов ответственности за информирование администраторов базы событий и риск-менеджеров (экспертов) подразделений, осуществляющих оценку потерь от СОР, и за мониторинг операционного риска.
2.2.12.4. Установление внутренними документами кредитной организации, регулирующими сбор данных о событиях не только операционных, но и иных видов нефинансовых рисков (в случае если события связаны с операционным риском) требований к регистрации событий по данным видам рисков в базах событий соответствующих видов рисков в соответствии с требованиями пунктов 6.9 - 6.10 Положения N 716-П, в том числе с учетом следующего:
- события нефинансовых рисков, связанные с операционным риском, подлежат регистрации в базах событий с учетом порога регистрации, устанавливаемого для событий операционного риска во внутренних документах кредитной организации в соответствии с пунктом 6.5 Положения N 716-П;
- в базе событий подлежат регистрации события риска информационной безопасности и риска информационных систем со статусами качественной оценки "очень высокий" или "высокий" (независимо от времени простоя);
- рекомендуется осуществлять анализ предъявленных к кредитной организации исков, на предмет выявления связанных с операционным риском, свыше порога, установленными внутренними документами кредитной организации (например, 100 тыс. руб. и более).
Указанные критерии являются минимальными: риск-координаторы вправе информировать риск-менеджеров СУОР об инцидентах операционного риска с суммой ущерба менее указанных пороговых значений, если это способствует эффективному управлению операционными рисками.
2.2.13. Установление требований к системе контрольных показателей уровня операционного риска, в том числе:
- определение на плановый годовой период перечня КПУР в соответствии с приложением 1 к Положению N 716-П;
- установление целевых значений КПУР в соответствии с пунктом 5.2 Положения N 716-П;
- методика учета недостающих данных, в случае если период ведения базы событий кредитной организации составляет менее 10 лет;
- оформление расчета и обоснования сигнальных и контрольных значений КПУР в виде заключения с учетом требований пункта 5.3 Положения N 716-П;
- порядок действий должностных лиц, функции и ответственность органов управления и подразделений кредитной организации и иные требования в соответствии с пунктом 5.4 Положения N 716-П, в том числе в случае нарушения контрольных значений КПУР.
2.2.14. Установление требований к управлению риском информационной безопасности, в том числе определение:
- порядка управления риском информационной безопасности;
- порядка ведения базы событий риска информационной безопасности, в том числе соблюдение требований к классификации событий риска информационной безопасности в соответствии с пунктами 3.3 - 3.15 Положения N 716-П и требований к ведению базы событий в соответствии с пунктами 6.6 - 6.21 Положения N 716-П;
- порядка функционирования системы информационной безопасности в соответствии с требованиями пункта 7.7 Положения N 716-П;
- политики информационной безопасности, содержание которой соответствует требованиям пункта 7.8 Положения N 716-П, утвержденной коллегиальным исполнительным органом кредитной организации;
- порядка и сроков предоставления отчетов, указанных в пункте 7.10 Положения N 716-П;
- закрепление за службой информационной безопасности или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности (далее - служба информационной безопасности), функций, указанных в пункте 7.9 Положения N 716-П.
2.2.15. Установление требований к управлению риском информационных систем, в том числе определение:
- порядка управления риском информационных систем в соответствии с требованиями пункта 8.1 Положения N 716-П;
- политики информационных систем в соответствии с требованиями пункта 8.2 Положения N 716-П, содержание которой соответствует требованиям пункта 8.3 Положения N 716-П, утвержденной коллегиальным исполнительным органом кредитной организации;
- порядка и правил проведения анализа и пересмотра политики информационных систем;
- перечня информационных систем в соответствии с пунктом 8.5 Положения N 716-П;
- требований к информационным системам в соответствии с подпунктами 8.7.1 - 8.7.8 пункта 8.7 Положения N 716-П;
- методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, в соответствии с подпунктом 8.7.5 пункта 8.7 Положения N 716-П;
- порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, в соответствии с подпунктом 8.7.6 пункта 8.7 Положения N 716-П;
- требований по обеспечению непрерывности и качества функционирования информационных систем в соответствии с подпунктами 8.8.1 - 8.8.13 пункта 8.8 Положения N 716-П;
- обязанностей, полномочий, требований к квалификации, ответственности за результаты функционирования должностного лица (лица, его замещающего), ответственного за обеспечение функционирования информационных систем кредитной организации и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, в соответствии с пунктами 8.3 и 8.4 Положения N 716-П (далее - должностное лицо, ответственное за информационные системы), должностного лица (должностные лица), несущего (несущих) персональную ответственность за обеспечение качества данных в информационных системах, в соответствии с подпунктом 8.7.6 пункта 8.7 Положения N 716-П, и должностного лица, ответственного за обеспечение непрерывности функционирования информационных систем, в соответствии с подпунктами 8.8.10 и 8.8.11 пункта 8.8 Положения N 716-П.
2.3. Оценка качества выполнения процедур управления операционным риском
2.3.1. Процедура идентификации операционного риска в соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П
Способы идентификации операционного риска, указанные в подпункте 2.1.1 пункта 2.1 Положения N 716-П, разделяются на следующие направления деятельности.
2.3.1.1. Анализ фактически реализовавшихся СОР в разрезе направлений деятельности, процессов, в рамках которого рекомендовано убедиться, что в кредитной организации существует регулярная процедура анализа динамики показателей операционного риска, указанных в подпункте 4.2.4 пункта 4.2 Положения N 716-П, и, в случае наблюдения негативной динамики вышеуказанных показателей операционного риска, применяется процедура выбора и применения способа реагирования на операционный риск, указанная в подпункте 2.1.6 пункта 2.1 Положения N 716-П.
2.3.1.2. Выявление латентных рисков, то есть выявление скрытых источников потенциальной реализации операционного риска путем анализа недостатков бизнес-процессов.
В ходе проверки реализации в кредитной организации данного способа рекомендуется убедиться в том, что:
- внутренними документами кредитной организации утверждены методика и порядок проведения процедуры самооценки операционного риска, определено подразделение кредитной организации, ответственное за поддержание данной методики и порядка в актуальном состоянии;
- в кредитной организации осуществляется утверждение плана проведения качественной оценки операционного риска в соответствии с требованиями подпункта 2.1.5 пункта 2.1 Положения N 716-П и разработан порядок (подходы) формирования данного плана, включая периодичность;
- проведение качественной оценки (например, самооценки операционного риска) включено в обязанности руководителей подразделений (центров компетенций, в том числе владельцев процессов, участников процессов) в соответствии с пунктом 2.2 Положения N 716-П;
- в кредитной организации разработан и утвержден формат формализованной анкеты проведения самооценки операционного риска и существует процедура настройки вопросов анкеты под специфику конкретного процесса и участвующих подразделений заранее перед началом проведения самооценки операционного риска по данному процессу в соответствии с планом проведения оценки;
- в кредитной организации разработана и утверждена методика обработки и анализа заполненных анкет самооценки операционного риска и формирования отчета о результатах.
2.3.1.3. Кроме вышеуказанных способов идентификации операционного риска, рекомендуется применять следующие способы идентификации операционного риска, указанные в подпункте 2.1.1 пункта 2.1 Положения N 716-П, в том числе:
- интервью с работниками, в том числе руководством;
- анализ актов проверок, судебных актов и (или) актов исполнительных органов государственной власти;
- анализ информации внутреннего и внешнего аудита;
- анализ информации работников кредитной организации, полученной в рамках инициативного информирования.
2.3.2. Процедура сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П
Оценку эффективности проведения процедуры сбора и регистрации информации о СОР в кредитной организации следует осуществлять по следующим направлениям:
- выполнение кредитной организацией способов выполнения процедуры сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П и внутренними документами кредитной организации, с учетом подпунктов 2.2.12.1 - 2.2.12.4 пункта 2.2 настоящих разъяснений;
- качество ведения базы событий операционного риска в кредитной организации.
При проведении оценки качества ведения базы событий рекомендуется учитывать следующее.
2.3.2.1. Соблюдение требований к информационной системе, обеспечивающей управление операционным риском, в том числе:
- сохранность данных и их защиту от искажений в соответствии с требованиями пункта 1.3 Положения N 716-П;
- соблюдение требований к информационным системам в соответствии с главой 7 Положения N 744-П, в том числе к обеспечению качества данных в информационной системе, указанных в подпункте 8.7.4 пункта 8.7 Положения N 716-П. В рамках проверки вышеуказанных требований рекомендуется осуществить проверку документов о приемке в эксплуатацию вышеуказанной информационной системы.
2.3.2.2. Полноту ведения базы событий, с учетом требований пункта 6.4 Положения N 716-П, в том числе с учетом следующего.
Допускается проведение выборочной проверки, при этом объем выборки должен быть достаточным для обеспечения репрезентативности выборки в соответствии с международными стандартами аудита.
В целях оценки полноты информации за проверяемый период об инцидентах, которые могут нести признаки СОР, рекомендуется получать информацию из различных источников, в том числе:
- АБС/бухгалтерского учета;
- AC Fraud detection;
- журналы регистраций обращений и жалоб физических и юридических лиц;
- акты служебных расследований;
- акты проверок внешних надзорных органов (например, Банка России, Минфина, Роспотребнадзора, ФАС и др.);
- журналы учета инцидентов риска информационной безопасности и риска информационных систем;
- журналы учета ДТП с участием спецавтотранспорта кредитной организации;
- распорядительные документы кредитной организации в части дисциплинарных взысканий по работникам;
- прочие источники.
При осуществлении проверки полноты учета прямых потерь от реализации СОР рекомендуется осуществить процедуру сверки выписок по счетам бухгалтерского учета расходов/убытков и приравненных к ним счетам дебиторской задолженности на предмет выявления в них бухгалтерских записей, которые могут идентифицироваться как потери от СОР и их сверки наличия в базе событий. В этих целях рекомендуется:
- определить перечень балансовых счетов по операциям учета потерь и возмещения потерь от реализации СОР для включения в выборку проверки. Сформировать выгрузку необходимых данных из АБС (за проверяемый период);
- сформировать выгрузку данных из базы событий по СОР с прямыми потерями либо находящимся в процессе оценки (за проверяемый период);
- осуществить анализ полученных данных.
При выявлении фактов расхождения данных выписок из АБС и базы событий в части учета прямых потерь от операционного риска и (или) несоблюдения установленных сроков отражения информации о погашении в базе событий рекомендуется установить причины возникновения данных отклонений и ответственные подразделения.
По результатам проведенной оценки полноты базы событий рекомендуется рассчитать КПУР показатели доли пропусков, определенные абзацами шестым и седьмым подпункта 1.1.1 пункта 1.1 приложения 1 к Положению N 716-П в разрезе процессов.
В случае выявления СОР, не зарегистрированных или несвоевременно зарегистрированных в базе событий, рекомендуется установить причины и виновных лиц (сотрудник подразделения, риск-координатор и (или) риск-менеджер, и руководитель подразделений владельца процесса или центра компетенции, который должен был выявить данное СОР).
2.3.2.3. Соответствие классификатора СОР, применяемого при регистрации СОР в базе событий, требованиям к классификации в разрезе элементов, указанным в главе 3 Положения N 716-П, корректность проведения классификации.
2.3.2.4. Соблюдение порядка ведения и использования базы событий, утвержденного внутренними документами кредитной организации.
2.3.2.5. Наличие в базе событий всей информации, предусмотренной пунктом 6.6 Положения N 716-П.
2.3.2.6. Ведение базы событий на постоянной основе, в том числе рекомендуется проверить:
- соблюдение сроков регистрации СОР требованиям внутренних документов кредитной организации и требованиям абзаца тринадцатого подпункта 2.1.2 пункта 2.1 Положения N 716-П;
- своевременность выявления и учета возмещений.
2.3.2.7. Соблюдение правил работы с персональными данными (например, в поле "Подробное описание события" могут быть включены ФИО клиента и (или) виновного работника, но не допускается отражение персональных данных клиентов либо работников).
2.3.2.8. Обоснованность удаления (исправления) информации из базы событий о СОР (например, в случае если зарегистрированное в базе событий СОР не подтвердилось в процессе расследования). Во внутренних документах кредитной организации должно быть указано требование, что при удалении СОР из базы событий риск-менеджеру необходимо в обязательном порядке в поле "Комментарии" указать обоснование его удаления, также должно быть соблюдено требование о логировании записей в базе событий.
2.3.3. Процедура оценки потерь и возмещений от реализации СОР в кредитной организации в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П
В рамках оценки потерь и возмещений рекомендуется убедиться в том, что:
- оценка потерь от реализации СОР: прямых и непрямых потерь (косвенных, качественных и потенциальных) осуществляется в соответствии с методикой, утвержденной внутренними документами кредитной организации;
- методология оценки потерь операционного риска охватывает анализ всех возможных видов потерь, присущих данному СОР (например, рекомендуется вести каталоги типовых СОР с примерами классификации видов возможных потерь и способов их выявления);
- соблюдаются требования абзаца восьмого подпункта 2.1.3 пункта 2.1 Положения N 716-П о назначении экспертов для оценки потерь от реализации СОР в разрезе бизнес-процессов и типов потерь;
- соблюдается принцип разграничения конфликта интересов при назначении экспертов для оценки потерь (например, оценку потерь от СОР не должен осуществлять сотрудник подразделения - владельца процесса, на финансовый результат которого относятся данные потери);
- кредитная организация регулярно вносит изменения в методологию оценки потерь от операционного риска по результатам проведенной оценки ее эффективности.
2.3.4. Процедура количественной оценки уровня операционного риска в соответствии с подпунктом 2.1.4 пункта 2.1 Положения N 716-П
В рамках оценки выполнения процедуры количественной оценки уровня операционного риска рекомендуется убедиться, что служба управления рисками кредитной организации проводит количественную оценку уровня операционного риска в части оценки ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, по которым наблюдается статистика СОР, в целях покрытия этих потерь за счет ценообразования услуг и тарифов (при наличии).
2.3.5. Процедура качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П
В рамках оценки выполнения процедуры качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716-П рекомендуется убедиться, что:
- подразделение, ответственное за организацию управления операционным риском, ежегодно разрабатывает план проведения качественной оценки и утверждает его на уровне коллегиального исполнительного органа кредитной организации;
- самооценка операционного риска проводится кредитной организацией в отношении всех видов операционного риска в соответствии с планом ее проведения (не реже одного раза в год) в соответствии с требованиями абзаца восьмого подпункта 2.1.5 пункта 2.1 Положения N 716-П и установленной во внутренних документах методикой;
- профессиональная оценка уровня операционного риска осуществляется с соблюдением требований к процедуре и методам ее проведения, установленным во внутренних документах кредитной организации;
- сценарный анализ операционных рисков осуществляется в соответствии с методикой и порядком его проведения, установленными внутренними документами.
Аудитору рекомендуется собирать и документировать аудиторские доказательства, подтверждающие его выводы, например, следующие:
- план проведения качественной оценки, утвержденный коллегиальным органом кредитной организации;
- отчеты о проведении оценки по каждому процессу, включенному в план;
- протоколы заседания коллегиального исполнительного органа, на которых рассматривались отчеты и утверждались результаты;
- поручения, которые были подготовлены по результатам рассмотрения отчетов о самооценке и др.
Аудитору рекомендуется документировать выявленные недостатки и нарушения в каждом внутреннем документе, подтверждать их аудиторскими доказательствами.
2.3.6. Процедура выбора и применения способа реагирования на операционный риск в соответствии с подпунктом 2.1.6 пункта 2.1 Положения N 716-П
В рамках оценки выполнения процедуры выбора и применения способа реагирования рекомендуется убедиться, что выбор и применение способа реагирования на операционный риск по результатам проведения качественной оценки операционного риска осуществляется в сроки, установленные для этой процедуры во внутренних документах, с учетом требований абзаца первого подпункта 2.1.6 пункта 2.1 Положения N 716-П (рекомендуем ориентироваться на срок не более трех месяцев со дня проведения оценки уровня операционного риска).
2.3.7. Процедура мониторинга операционного риска в кредитной организации в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П
Мониторинг операционного риска осуществляется на базе системы КИР в значении, установленном в абзаце четвертом подпункта 2.1.1 пункта 2.1 Положения N 716-П, показателей или параметров, которые теоретически или эмпирически связаны с уровнем операционного риска на соответствующих процессах кредитной организации.
Мониторинг операционного риска заключается в том числе в контроле выполнения мероприятий, направленных на повышение качества СУОР и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) СОР, и мероприятия, направленные на ограничение размера потерь от реализации СОР, определенных в подпункте 4.1.5 пункта 4.1 Положения N 716-П.
В целях оценки эффективности проведения процедуры мониторинга операционного риска рекомендуется учитывать следующее:
- проведение постоянного мониторинга фактических значений КИР на предмет превышения их сигнальных и контрольных значений в соответствии с процедурой и периодичность, установленными внутренними документами кредитной организации;
- включение результатов процедуры мониторинга операционного риска в состав ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацами вторым и третьим подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 Положения N 716-П;
- в кредитной организации разработана процедура реагирования в случае превышения фактических значений КИР над пороговыми значениями;
- проведение периодической (не реже одного раза в год) оценки необходимости пересмотра КИР.
2.4. Оценка контроля за принятым объемом операционного риска в кредитной организации
2.4.1. В соответствии с пунктом 3.4 Указания N 3624-У кредитной организации в целях осуществления контроля за принятыми объемами значимых рисков необходимо:
- определить плановые (целевые) уровни рисков, целевую структуру рисков и систему лимитов, а также процедуры контроля за соблюдением установленных лимитов;
- осуществлять контроль за значимыми рисками путем сопоставления их объемов с установленными лимитами (целевыми уровнями рисков).
Для этого в отношении операционного риска в пункте 4.5 Положения N 716-П определен перечень показателей, характеризующих объемы операций, подверженных операционному риску за определенный период (день, неделя, месяц, квартал, полугодие, девять месяцев, год) (далее - показателей объема операционного риска). На основе которых кредитная организация в целях осуществления контроля за объемом операционного риска, принятым в кредитной организации, разрабатывает и устанавливает плановые (целевые) показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов.
В ходе проверки аудитору рекомендуется убедиться, что:
- для всех направлений деятельности, в том числе в разрезе составляющих их процессов, кредитной организации определен хотя бы один показатель объема операционного риска в соответствии с пунктом 4.5 Положения N 716-П;
- для каждого показателя объема операционного риска установлено целевое (плановое) значение;
- на ежеквартальной основе проверяется соответствие фактического значения данного показателя принятым в кредитной организации целевым (плановым) значениям;
- в кредитной организации определены меры в случае нарушения целевых значений (например, предусмотрена процедура пересмотра целевых значений и, соответственно, показателей бизнес-плана кредитной организации).
2.4.2. В соответствии с главой 4 Указания N 3624-У в целях обеспечения устойчивого функционирования на непрерывной основе в долгосрочной перспективе кредитной организации необходимо определять склонность к риску (аппетит к риску).
Склонность к риску должна определяться:
- стратегией управления рисками и капиталом кредитной организации (головной кредитной организации банковской группы) на уровне кредитной организации (банковской группы) в разрезе направлений деятельности кредитной организации (дочерней кредитной организации);
- в виде совокупности количественных и качественных показателей.
В соответствии с пунктом 4.3 Указания N 3624-У кредитная организация самостоятельно осуществляет выбор показателей склонности к риску. Вышеуказанные показатели склонности к риску могут совпадать (полностью или частично) с контрольными показателями уровня операционного риска, приведенными в приложении 1 к Положению N 716-П.
В ходе проверки аудитору рекомендуется убедиться в том, что в кредитной организации:
- определены показатели склонности к риску по операционному риску и значения их границ и (или) лимитов как для кредитной организации (банковской группы) в целом, так и в разрезе направлений деятельности и, как минимум, критически важных процессов;
- показатели синхронизированы с контрольными показателями уровня операционного риска, приведенными в приложении 1 Положения N 716-П (в случае если отдельные показатели склонности совпадают с КПУР);
- показатели склонности к риску по операционному риску (в том числе их границы и (или) лимиты) утверждены решением совета директоров (наблюдательного совета) кредитной организации;
- соблюдаются требования к определению перечня КПУР и их целевой (плановый) уровень операционного риска, его значения утверждены решением совета директоров (наблюдательного совета) кредитной организации;
- осуществляется контроль за соблюдением установленных границ и (или) лимитов показателей склонности к риску по операционному риску и целевого (планового) уровня операционного риска;
- на ежеквартальной основе проверяется соблюдение установленных показателей, включение их значений в отчеты кредитной организации.
2.5. Оценка эффективности управления риском информационной безопасности в кредитной организации
В целях оценки эффективности управления риском информационной безопасности в кредитной организации рекомендуется учитывать следующее:
- обеспечение выполнения порядка функционирования системы информационной безопасности, определенного внутренними документами кредитной организации, с учетом требований пунктов 7.6 - 7.7 Положения N 716-П;
- распределение функций и ответственности совета директоров (наблюдательного совета), коллегиального исполнительного органа и работников кредитной организации в рамках организационной структуры обеспечения информационной безопасности, в том числе исключающее конфликт интересов;
- выполнение службой информационной безопасности функций, определенных во внутренних документах кредитной организации, с учетом требований пункта 7.9 Положения N 716-П;
- формирование службой информационной безопасности специализированных отчетов по рискам информационной безопасности в соответствии с пунктом 7.10 Положения N 716-П, а также соблюдение порядка и сроков предоставления данных отчетов на рассмотрение;
- соблюдение требований ведения базы событий риска информационной безопасности требованиям пункта 6.9 положения N 716-П (в случае ведения в кредитной организации базы событий риска информационной безопасности раздельно с базой событий операционного риска);
- соблюдение требований к порядку предоставления данных о прямых потерях от реализации событий риска информационной безопасности для регистрации в базе событий операционного риска в соответствии с пунктом 6.10 Положения N 716-П (в случае ведения в кредитной организации базы событий риска информационной безопасности раздельно с базой событий операционного риска).
2.6. Оценка эффективности управления риском информационных систем в кредитной организации
В целях оценки эффективности управления риском информационных систем в кредитной организации рекомендуется учитывать следующее:
- обеспечение функционирования системы управления риском информационных систем;
- соблюдение требований к информационным системам, определенных во внутренних документах кредитной организации, в соответствии с подпунктами 8.7.1 - 8.7.8 пункта 8.7 Положения N 716-П;
- проведение не реже одного раза в год анализа необходимости пересмотра требований к информационным системам в соответствии с требованиями подпункта 8.7.8 пункта 8.7 Положения N 716-П;
- соблюдение требований по обеспечению непрерывности и качества функционирования информационных систем, определенных во внутренних документах кредитной организации, в соответствии с подпунктами 8.8.1 - 8.8.13 пункта 8.7 Положения N 716-П;
- соблюдение требований ведения базы событий риска информационных систем требованиям пункта 6.9 положения N 716-П (в случае ведения в кредитной организации базы событий риска информационных систем раздельно с базой событий операционного риска);
- соблюдение требований к порядку предоставления данных о прямых потерях от реализации событий риска информационных систем для регистрации в базе событий операционного риска в соответствии с пунктом 6.10 Положения N 716-П (в случае ведения в кредитной организации базы событий риска информационных систем раздельно с базой событий операционного риска);
- обеспечение проведения мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, в соответствии с пунктом 6.7 Положения N 716-П;
- соблюдение требований к информационным системам в соответствии с пунктом 8.7 Положения N 716-П;
- назначено ли в кредитной организации должностное лицо, ответственное за информационные системы, должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах, и должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем (согласно разъяснениям, размещенным на официальном сайте Банка России <4>, для кредитных организаций в зависимости от характера и масштабов деятельности возможно совмещение этих функций).
--------------------------------
<4> В разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Об управлении риском информационных систем".
2.7. Оценка эффективности системы отчетов об управлении операционным риском в кредитной организации
2.7.1. Система отчетности об управлении операционным риском в кредитной организации состоит из следующих отчетов:
- внутренние отчеты по операционному риску, формируемые в соответствии с подпунктами 4.2.2 - 4.2.4 пункта 4.2 Положения N 716-П, включая информацию о результатах проведения процедур управления операционным риском, формируемую в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П;
- отчеты в рамках ВПОДК;
- отчетность по регуляторной форме, представляемая в Банк России (отчетность по форме 0409106 "Отчет по управлению операционным риском в кредитной организации", установленная Указанием Банка России от 08.10.2018 N 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации") <5>;
--------------------------------
<5> Вступает в силу с 01.10.2022.
- специализированные отчеты по риску информационной безопасности, формируемые в соответствии с пунктом 7.10 Положения N 716-П и соответствующими нормативными актами по информационной безопасности;
- отчеты по рекомендуемым образцам, формируемым в соответствии с Положением N 744-П.
2.7.2. В рамках оценки эффективности системы отчетов по операционному риску кредитной организации аудитору рекомендуется убедиться в том, что:
- отчеты, указанные в подпункте 2.7.1 настоящего пункта (далее - отчеты), формируются подразделением, ответственным за организацию управления операционным риском, в сроки, установленные во внутренних документах кредитной организации;
- отчеты рассматриваются руководителем службы управления рисками, коллегиальным исполнительным органом кредитной организации, советом директоров (наблюдательным советом) в сроки, установленные во внутренних документах кредитной организации, с учетом требований подпункта 4.2.5 пункта 4.2 Положения N 716-П;
- на основании информации, изложенной в отчетах, принимаются соответствующие решения, издаются поручения по разработке мероприятий, направленных на повышение качества СУОР и уменьшение негативного влияния операционного риска, с указанием ответственных за реализацию мероприятий подразделений и сроков выполнения, исполнение которых должным образом контролируется;
- содержание отчетов соответствует характеру и масштабу деятельности кредитной организации и объективно отражает ее уровень операционного риска;
- состав информации, отражаемой в ежеквартальных отчетах по ОР и отчете по управлению операционным риском за год, соответствует требованиям подпункта 4.2.2 и 4.2.4 пункта 4.2 Положения N 716-П.
2.8. Оценка эффективности системы КПУР
В рамках оценки эффективности системы КПУР рекомендуется убедиться в том, что:
- перечень КПУР и их целевые значения утверждены:
советом директоров (наблюдательным советом) в целом по кредитной организации;
коллегиальными исполнительными органами в разрезе направлений деятельности, в том числе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса, с учетом требований пунктов 5.2 и 5.3 Положения N 716-П. Кредитная организация вправе группировать процессы, не отнесенные к критически важным и основным процессам в соответствии с подпунктом 4.1.1. пункта 4.1 Положения N 716-П, в целях установления единого КПУР для данной группы.
- целевые значения КПУР рассчитаны корректно, в соответствии с требованиями приложения 1 к Положению N 716-П и внутренними документами кредитной организации, в том числе методикой и обоснованием их расчета (возможно на основании выборочной проверки). Рекомендуется проверить возможность отклонения значений КПУР от установленных значений на практике;
- осуществляется регулярный мониторинг соблюдения целевых значений КПУР и, в случае превышения сигнального или контрольного значения КПУР предпринимаются соответствующие меры по реагированию в соответствии с требованиями пунктов 5.1 и 5.4 Положения N 716-П и внутренних документов кредитной организации;
- данные о фактических значениях КПУР включаются в состав отчетов по операционному риску, указанных в подпункте 4.2.2 пункта 4.2 Положения N 716-П.
3. Шкала оценки эффективности СУОР
В завершении по каждому блоку проверки аудитору рекомендуется указать качественную оценку соответствия блока проверки требованиям Положения N 716-П, по 4-балльной системе:
- 1 балл - полностью соответствует;
- 2 балла - в целом соответствует с отдельными несущественными нарушениями;
- 3 балла - соответствует не полностью, так как выявлены существенные отклонения и нарушения, требующие серьезной переработки (реинжиниринга) выполнения процедуры, например, вовлечения в нее всех участвующих подразделений;
- 4 балла - не соответствует в целом.
После этого в соответствии с установленной во внутренних документах методикой аудитору рекомендуется:
определить средневзвешенную оценку (по весам значимости блоков проверки) эффективности системы управления операционным риском и соответствия системы управления операционным риском кредитной организации требованиям Положения N 716-П;
сформулировать выводы (результаты проверки) и рекомендации органам управления кредитной организации и должностным лицам.
4. Дополнительные области оценки эффективности СУОР
Дополнительные области оценки эффективности СУОР могут включаться выборочно в программу проверки с определенной периодичностью (например, раз в три года).
4.1. Проверка системы мотивации работников к участию в системе управления операционным риском
В целях повышения заинтересованности руководителей и работников подразделений в эффективном функционировании системы управления операционным риском в подпункте 4.1.6 пункта 4.1 Положения N 716-П установлены требования по созданию в кредитной организации соответствующей системы мотивации. Например, путем определения ключевых показателей эффективности (далее - КПЭ) "Снижение уровня операционного риска по бизнес-процессу", "Доля пропусков событий операционного риска по бизнес-процессу и (или) центру компетенций".
В качестве количественного показателя уровня операционного риска может приниматься сумма прямых и косвенных потерь от реализации операционного риска либо сумма чистых прямых от реализации операционного риска с учетом возмещения (указанные данные могут быть определены на основании базы событий).
Аудитору в ходе проверки рекомендуется выявлять, например, следующее:
- наличие порядка расчета и мониторинга фактических значений установленных КПЭ на регулярной основе (например, ежеквартальной или годовой);
- наличие соответствующих требований во внутренних документах, например, в положении кредитной организации о нефиксированной части вознаграждения в соответствии с Инструкцией Банка России от 17.06.2014 N 154-И "О порядке оценки системы оплаты труда в кредитной организации и порядке направления в кредитную организацию предписания об устранении нарушения в ее системе оплаты труда";
- наличие иных форм и способов поощрения (например, целевой премиальный фонд руководителя службы управления рисками, не денежные формы поощрения, конкурсы и др.);
- при выявлении недостаточной системы мотивации аудитору рекомендуется включать в отчет соответствующие рекомендации для подразделения кадровой политики.
В ходе аудита рекомендуется экспертно оценить наличие, например, следующих недостатков:
- позволяющих манипулировать результатами выполнения КПЭ и (или) оценочного показателя "Уровень операционного риска" и (или) иных КПЭ;
- способных снижать эффективность мер, принимаемых кредитной организацией в целях мотивации владельцев процессов и специализированных подразделений по снижению операционного риска.
4.2. Проверка обеспечения профессиональной подготовки работников по вопросам в области операционного риска
Обеспечение надлежащего уровня риск-культуры и профессиональной подготовки работников в области операционного риска позволяет кредитным организациям более эффективно работать на предупреждение и выявление СОР. Рекомендуется, чтобы проводимая профессиональная подготовка учитывала стаж работы, роли и обязанности работников, для которых она предназначена.
Для целей обеспечения устойчивого и эффективного функционирования всей системы управления рисками кредитная организация должна предпринимать действия по развитию риск-культуры, одной из основных задач которой является получение работниками кредитной организации знаний и навыков в сфере управления рисками посредством систематического обучения (см. письмо Банка России от 16.05.2012 N 69-Т "О рекомендациях Базельского комитета по банковскому надзору "Принципы надлежащего управления операционным риском").
В ходе аудита рекомендуется оценить эффективность мер, принимаемых в кредитной организации с целью повышения риск-культуры и знаний работников в области операционного риска, например, в том числе:
- полноту прохождения работниками кредитной организации обучения, например, дистанционного обучения по специализированным курсам "Управление операционным риском и риск-культура в кредитной организации в области операционного риска", "Вводный курс по выявлению и регистрации СОР", "Вводный курс по проведению самооценки операционного риска";
- формирование единого понимания работниками кредитной организации понятия "операционный риск", способов идентификации операционного риска и порядка сбора данных о СОР (посредством выборочного опроса аудитором работников кредитной организации);
- полноту прохождения риск-координаторами подразделений владельцев процессов, центров компетенций и специализированных подразделений дополнительного специализированного обучения в области операционного риска.
4.3. Проверка корректности расчета экономического капитала на покрытие операционного риска
В ходе аудита рекомендуется оценить корректность расчета экономического капитала на покрытие операционного риска, требования к которому установлены Указанием N 3624-У и приложением 2 к Положению N 716-П, также осуществить оценку:
- наличия методики и порядка расчета экономического капитала на покрытие операционного риска и ее соответствие требованиям Указания N 3624-У и приложения 2 к Положению N 716-П;
- наличия валидации указанной методики и эффективности указанной методики на предмет того, позволяет ли она оценивать непредвиденные прямые потери от реализации операционного риска и выделять на их покрытие достаточный уровень капитала путем установления ненулевого значения компонента объема капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) на покрытие потерь от реализации СОР) (