.
.
.
.
.
.
ПОЛОЖЕНИЕ О
ТРЕБОВАНИЯХ
К СИСТЕМЕ
УПРАВЛЕНИЯ
ОПЕРАЦИОННЫМ
РИСКОМ В
ФИНАНСОВОЙ
ОРГАНИЗАЦИИ
И БАНКОВСКОЙ
ГРУППЕ
.
.
.
.
.
На основании статьи 57.1 Закона «О Центральном банке» и статьи 11.1–2 Закона «О банках и банковской деятельности», Государственный банк устанавливает требования к системе управления операционным риском в финансовой организации и банковской группе.
.
Глава 1. Общие положения.
.
1.1. Финансовая организация и головная финансовая организация банковской группы, за исключением центрального контрагента в значении, установленном в статье 2 Закона «О клиринге, клиринговой деятельности и центральном контрагенте» и центрального депозитария в значении, установленном в статье 2 Закона «О едином центральном депозитарии ценных бумаг», должны организовать управление операционным риском в соответствии с настоящим Положением.
Понятие «операционный риск» применяется в настоящем Положении в значении, установленном в пункте 4.1 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы».
1.2. Финансовая организация (головная финансовая организация банковской группы) выявляет случаи фактической реализации операционного риска (далее – событие операционного риска) в соответствии с главой 2 настоящего Положения, классифицирует события операционного риска в соответствии с главой 3 настоящего Положения и фиксирует события операционного риска в базе событий в соответствии с главой 6 настоящего Положения. Понятие «база событий» применяется в настоящем Положении в значении, установленном в пункте 4.3 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы».
1.3. Система управления операционным риском в финансовой организации (головной финансовой организации банковской группы) включает следующие элементы:
1.4. Финансовая организация (головная финансовая организация банковской группы) для целей унификации управления операционным риском выделяет следующие виды операционного риска, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском:
В случае если в финансовой организации (головной финансовой организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.
1.5. Финансовая организация (головная финансовая организация банковской группы) утверждает процедуры управления операционным риском в соответствии с пунктом 2.4 Указания «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы». Единоличный и коллегиальный исполнительные органы финансовой организации (головной финансовой организации банковской группы) обеспечивают их исполнение в соответствии с требованиями главы 2 настоящего Положения. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) несет ответственность за соблюдение требований настоящего Положения.
.
Глава 2. Процедуры управления операционным риском.
.
2.1. Финансовая организация (головная финансовая организация банковской группы) с учетом положений пункта 4.1 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы» и главы 9 настоящего Положения устанавливает во внутренних документах следующие процедуры управления операционным риском:
2.1.1. Идентификация операционного риска, включающая следующие способы:
Финансовая организация (головная финансовая организация банковской группы) использует результаты процедуры идентификации операционного риска для проведения процедур количественной и качественной оценки уровня операционного риска и корректного учета связи идентифицированного операционного риска с событиями операционного риска в базе событий.
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 настоящего Положения.
2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:
Финансовая организация (головная финансовая организация банковской группы) обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:
2.1.3. Определение потерь и возмещений потерь от реализации событий операционного риска, включающее следующие способы:
2.1.4. Количественная оценка уровня операционного риска, включающая следующие способы:
Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах способы проведения процедуры количественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.
2.1.5. Качественная оценка уровня операционного риска, проводимая в отношении выявленных операционных рисков в дополнение к количественной оценке и включающая следующие способы:
Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах методы проведения процедуры качественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.
Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него перечня критически важных процессов, определенных финансовой организацией (головной финансовой организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, и перечня процессов, уровень существенности операционного риска у которых по результатам качественных оценок, предшествующих дате проведения качественной оценки уровня операционного риска, был высоким или очень высоким в соответствии с абзацем одиннадцатым настоящего подпункта или не оценивался в течение двух лет, предшествующих дате проведения качественной оценки уровня операционного риска, в отношении которых осуществляется качественная оценка уровня операционного риска, с указанием ответственных и участвующих подразделений финансовой организации (головной финансовой организации банковской группы) (далее – план проведения качественной оценки). Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) утверждает план проведения качественной оценки.
Подразделения финансовой организации (головной финансовой организации банковской группы) осуществляют оценку уровня операционного риска в соответствии с планом проведения качественной оценки.
Самооценка операционного риска проводится подразделениями финансовой организации (головной финансовой организации банковской группы) в отношении выполняемых ими процессов в соответствии с внутренними документами финансовой организации (головной финансовой организации банковской группы) не реже одного раза в год по установленной во внутренних документах методике (в виде анкетирования выделенных для самооценки операционного риска работников подразделений финансовой организации (головной финансовой организации банковской группы) по направлениям деятельности, в том числе в разрезе составляющих их процессов, которые включены в план проведения качественной оценки, с использованием формализованных анкет).
Самооценка операционного риска проводится финансовой организацией (головной финансовой организацией банковской группы) в отношении всех видов операционного риска в соответствии с планом проведения качественной оценки.
Финансовая организация (головная финансовой организации банковской группы) определяет критерии самооценки операционного риска, которые должны включать:
Финансовая организация (головная финансовая организация банковской группы) разрабатывает требования к проведению профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений финансовой организации (головной финансовой организации банковской группы) и (или) внешними экспертами с указанием сроков, правил и порядка ее проведения.
Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах методы проведения профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений финансовой организации (головной финансовой организации банковской группы) на основе требований к ее проведению.
Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах методику сценарного анализа операционных рисков и порядок его проведения.
Финансовая организация (головная финансовая организация банковской группы) определяет в порядке проведения сценарного анализа операционных рисков критерии проведения сценарного анализа операционных рисков в отношении выявленных операционных рисков в ходе качественной оценки уровня операционного риска, проводимой в соответствии с планом проведения качественной оценки, а также в отношении источников операционного риска, которые не реализовались в деятельности финансовой организации (головной финансовой организации банковской группы), по которым уровень существенности операционного риска оценивается как высокий или очень высокий в соответствии с абзацем одиннадцатым настоящего подпункта.
Финансовая организация (головная финансовая организация банковской группы) проводит оценку негативного влияния выявленных сценариев реализации операционных рисков и источников операционного риска на свою деятельность в разрезе направлений деятельности и составляющих их процессов с учетом задействованных при их выполнении других процессов и (или) информационных систем, а также с учетом участия третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) в выполнении процессов финансовой организации (головной финансовой организации банковской группы) (далее – зависимость процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).
Финансовая организация (головная финансовая организация банковской группы) в целях проведения качественной оценки видов операционного риска разрабатывает во внутренних документах методику моделирования угроз реализации вида операционного риска и порядок проведения моделирования угроз, в том числе порядок оценки негативного влияния угроз по шкале качественных оценок, разработанной в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения.
2.1.6. Выбор и применение способа реагирования на операционный риск по результатам мероприятий, утвержденных в соответствии с абзацем шестым подпункта 2.1.5 настоящего пункта, в срок не более трех месяцев со дня проведения оценки уровня операционного риска, включая следующие способы реагирования:
Рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска, приведен в приложении 3 к настоящему Положению.
Финансовая организация (головная финансовая организация банковской группы) выбирает и применяет способы реагирования на операционный риск в зависимости от оценки уровня операционного риска, в том числе уровня потерь от реализации операционного риска и событий операционного риска.
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок проведения процедуры выбора и применения способа реагирования на операционный риск, в том числе методы оценки стоимости выбранного способа реагирования.
Финансовая организация (головная финансовая организация банковской группы) разрабатывает меры, направленные на уменьшение негативного влияния операционного риска, с учетом оценки их эффективности и уровня остаточного риска (по результатам реализации мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска).
2.1.7. Мониторинг операционного риска, включающий следующие способы:
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах процедуру мониторинга операционного риска.
Финансовая организация (головная финансовая организация банковской группы) во внутренних документах определяет правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска.
Финансовая организация (головная финансовая организация банковской группы) во внутренних документах устанавливает требования к КИР и к их документированию, включающие:
Для финансовых организаций (головных финансовых организаций банковской группы), являющихся в соответствии со статьей 3 Закона «О национальной платежной системе» операторами платежной системы или операторами услуг платежной инфраструктуры, требования к КИР должны быть установлены с учетом требований к определению показателей бесперебойности функционирования платежной системы, установленных в приложении 1 к Положению «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков», которые должны рассматриваться в качестве КИР.
Финансовая организация (головная финансовая организация банковской группы) направляет результаты процедуры мониторинга операционного риска на рассмотрение коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) или другим органам финансовой организации (головной финансовой организации банковской группы), перечень которых определяется во внутренних документах финансовой организации (головной финансовой организации банковской группы), в составе ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым и третьим подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.
2.2. Финансовая организация (головная финансовая организация банковской группы) предусматривает во внутренних документах, регламентирующих процедуры управления операционным риском, функции и обязанность подразделений финансовой организации (головной финансовой организации банковской группы), участвующих на различных этапах процессов (далее – подразделение – участник процессов), а также подразделений, ответственных за осуществление операций и сделок и за результаты процесса, участвовать в выявлении операционного риска и сборе информации о событиях операционного риска и потерях от его реализации, в качественной оценке операционного риска.
2.3. Финансовая организация (головная финансовая организация банковской группы) включает информацию о результатах проведения процедур управления операционным риском, установленных пунктом 2.1 настоящего Положения, в состав ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.
2.4. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах, регламентирующих процедуры управления операционным риском, способы их проведения, перечисленные в настоящей главе, с учетом требований, указанных в главе 9 настоящего Положения.
2.5. Оценка эффективности выполнения процедур управления операционным риском финансовой организации (головной финансовой организации банковской группы) производится уполномоченным подразделением с учетом требований подпункта 4.1.4 пункта 4.1, пунктов 4.4, 4.6, 6.12, 6.17, 6.19, 7.11, 8.4, подпункта 8.8.8 пункта 8.8 и главы 9 настоящего Положения и приложения 1 к настоящему Положению. Отчет о результатах оценки эффективности выполнения процедур управления операционным риском (в том числе на предмет их полноты и корректности) предоставляется уполномоченным подразделением на рассмотрение совету участников (наблюдательному совету) и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) в срок, установленный во внутренних документах финансовой организации (головной финансовой организации банковской группы).
.
Глава 3. Классификатор событий операционного риска.
.
3.1. Финансовая организация (головная финансовая организация банковской группы) классифицирует все события операционного риска в разрезе следующих элементов: источников операционного риска, типов событий операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов, и видов потерь от реализации операционного риска.
3.2. Финансовая организация (головная финансовая организация банковской группы) для всех видов операционного риска определяет во внутренних документах единый классификатор событий операционного риска в разрезе элементов, перечисленных в пункте 3.1 настоящего Положения. Единый классификатор событий операционного риска должен обновляться финансовой организацией (головной финансовой организации банковской группы) с учетом изменений осуществляемых операций и (или) действующих процессов финансовой организации (головной финансовой организации банковской группы).
3.3. Источники операционного риска классифицируются финансовой организацией (головной финансовой организацией банковской группы) на следующие категории:
3.3.1. К первой категории относятся недостатки процессов, в том числе ненадежная и (или) неэффективная организация внутренних процессов управления в финансовой организации и совершения банковских и других операций, а также несоответствие указанных процессов деятельности финансовой организации и (или) требованиям законодательства (далее – недостатки процессов);
3.3.2. Ко второй категории относятся недостатки, связанные с действиями персонала финансовой организации (непреднамеренные ошибки, умышленные действия или бездействие) и других связанных с финансовой организацией лиц, включая собственников, а также лиц, связанных с финансовой организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица финансовой организации в соответствии со статьей 64.1 Закона «О Центральном банке» (далее – действия персонала и других связанных с финансовой организацией лиц);
3.3.3. К третьей категории относятся отказы и (или) нарушения функционирования применяемых финансовой организацией информационных, технологических и других систем, оборудования и (или) несоответствие их функциональных возможностей и характеристик потребностям финансовой организации (далее – сбои систем и оборудования);
3.3.4. К четвертой категории относится воздействие внешних причин, включая действия третьих лиц, в том числе действия суда и исполнительных государственных органов, Государственного банка, других организаций, а также другие воздействия внешнего характера (далее – внешние причины).
3.4. Финансовая организация (головная финансовая организация банковской группы) во внутренних документах определяет последующие уровни классификации источников событий операционного риска.
3.5. У одного и того же события операционного риска может быть один источник или несколько источников операционного риска. В случае если финансовой организацией (головной финансовой организацией банковской группы) определено более одного источника операционного риска, в отношении реализовавшегося события операционного риска в базе событий финансовая организация (головная финансовая организация банковской группы) указывает все выявленные источники события операционного риска и определяет наиболее значимый источник операционного риска.
3.6. Классификация типов событий операционного риска осуществляется финансовой организацией (головной финансовой организацией банковской группы) следующим образом:
3.6.1. совершение работниками финансовой организации и другими связанными с финансовой организацией лицами, включая собственников, а также физическими лицами, связанными с финансовой организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица финансовой организации, преднамеренных действий или преднамеренное бездействие указанных лиц, направленные на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу финансовой организации и (или) средствам клиентов, нарушение процессов, препятствующие достижению целей финансовой организации, в том числе умышленное несоблюдение нормативных актов или внутренних документов финансовой организации в целях извлечения материальной и нематериальной выгоды (далее – преднамеренные действия персонала);
3.6.2. совершение третьими лицами преднамеренных действий, направленных на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу финансовой организации и (или) средствам клиентов (за исключением вандализма), нарушение процессов и ухудшение работы систем, препятствующих достижению стратегии развития финансовой организации или нарушающих законодательство, в том числе приобретение гражданских прав на имущество финансовой организации обманным путем (далее – преднамеренные действия третьих лиц);
3.6.3. нарушение со стороны финансовой организации трудового законодательства, кадровой политики, условий труда и безопасности, требований по охране труда или охране здоровья, связанных с выплатами работникам финансовой организации по исковым требованиям (в том числе по искам о возмещении морального и материального вреда или искам в связи с дискриминацией), а также вследствие прекращения трудовых отношений (далее – нарушение кадровой политики и безопасности труда);
3.6.4. нарушение со стороны финансовой организации гражданских прав клиентов и контрагентов, включая нанесение им ущерба, при оказании им услуг и совершении операций, включая нарушение условий договоров и сохранности конфиденциальной информации, ставшей доступной финансовой организации в процессе взаимодействия с клиентами и контрагентами по операциям и сделкам при оказании услуг, предоставлении банковских услуг с условием приобретения клиентом сопутствующих услуг финансовой организации или третьих лиц и нарушение законодательства в сфере защиты гражданских прав потребителей, а также антимонопольного законодательства (далее – нарушение гражданских прав клиентов и контрагентов);
3.6.5. ущерб материальным активам финансовой организации вследствие снижения стоимости имущества, потери свойств материальных активов финансовой организации в результате стихийных бедствий, техногенных катастроф, эпидемий, беспорядков, вандализма и военных действий (далее – ущерб материальным активам);
3.6.6. нарушение и сбои систем и оборудования, обеспечивающих функционирование деятельности финансовой организации (далее – нарушение и сбои систем и оборудования);
3.6.7. нарушение организации, исполнения и управления процессами финансовой организации, включая ошибки при обработке операций, недостатки обеспечения функционирования процессов, недостатки систем управления рисками, внутреннего контроля, учета и отчетности, системы обеспечения информационной безопасности, недостатки внутренних процедур противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию насилия и финансированию распространения оружия массового уничтожения, недостатки в процессах взаимоотношений с торговыми контрагентами и поставщиками, за исключением действий, перечисленных в подпункте 3.6.1 настоящего пункта (далее – нарушение организации, исполнения и управления процессами).
3.7. Для отдельных видов операционного риска в целях классификации событий операционного риска в базе событий финансовой организацией (головной финансовой организацией банковской группы) применяются дополнительные типы событий операционного риска в разрезе классификации типов событий в соответствии с пунктом 3.6 настоящего Положения.
3.8. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах детализированную классификацию типов событий операционного риска в соответствии с приложением 4 к настоящему Положению, а также вправе определить более детализированную классификацию типов событий операционного риска с учетом осуществляемых операций и (или) действующих процессов финансовой организации (головной финансовой организации банковской группы).
3.9. События операционного риска классифицируются финансовой организацией (головной финансовой организации банковской группы) по основным направлениям деятельности первого уровня следующим образом:
3.9.1. оказание услуг юридическим лицам, государственным органам и местного самоуправления по организации доступа к рынкам капитала, оптимизации структуры активов и повышению качества корпоративного управления, слияниям и поглощениям, оказанию консультационных услуг финансового посредничества, в том числе при организации синдицированного финансирования (корпоративное финансирование);
3.9.2. осуществление операций и сделок с финансовыми инструментами торгового портфеля (операции и сделки на финансовом рынке);
3.9.3. оказание банковских услуг розничным клиентам, кроме брокерских и депозитарных услуг (розничное банковское обслуживание);
3.9.4. оказание юридическим лицам банковских услуг, за исключением основного направления деятельности первого уровня, указанного в подпункте 3.9.1 настоящего пункта (коммерческое банковское обслуживание корпоративных клиентов);
3.9.5. осуществление переводов денежных средств, платежей и расчетов через платежные системы, в том числе платежную систему Государственного банка, в которых финансовая организация выступает как оператор по переводу денежных средств, в том числе платежей по собственным операциям, за исключением внутрибанковских операций по организации услуг по проведению платежей, расчетов и взаимодействия с клиентом в рамках предоставления банковских услуг, относящихся к основным направлениям деятельности первого уровня, указанным в подпунктах 3.9.3, 3.9.4, 3.9.6 – 3.9.8 настоящего пункта (осуществление переводов денежных средств, платежей и расчетов через платежные системы);
3.9.6. оказание агентских и депозитарных услуг, в том числе услуг по хранению сертификатов ценных бумаг и (или) их учету, обеспечению сохранности активов и документов клиентов (агентские и депозитарные услуги);
3.9.7. управление активами клиентов по договорам доверительного управления (управление активами);
3.9.8. брокерское обслуживание розничных клиентов (розничное брокерское обслуживание);
3.9.9. обеспечивающие и организационные направления деятельности, например, бухгалтерский учет, административно–хозяйственная деятельность, управление рисками, деятельность по обеспечению функционирования информационных систем, обеспечение физической безопасности, противопожарной безопасности и охраны труда, юридическое сопровождение, управление персоналом, корпоративное управление и управление капиталом финансовой организации (головной финансовой организацией банковской группы) (обеспечение деятельности финансовой организации).
3.10. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах классификацию направлений деятельности, в том числе в разрезе составляющих их процессов, до второго уровня и далее с учетом осуществляемых операций и (или) действующих процессов финансовой организации (головной финансовой организации банковской группы).
В случае если финансовой организацией (головной финансовой организацией банковской группы) определено более одного направления деятельности первого уровня в отношении реализовавшегося события операционного риска, финансовая организация (головная финансовая организация банковской группы) указывает в базе событий все направления деятельности первого уровня, в которых реализовалось событие операционного риска, и определяет наиболее значимое направление деятельности первого уровня.
3.11. Виды потерь от реализации событий операционного риска подразделяются финансовой организацией (головной финансовой организацией банковской группы) на прямые и непрямые потери.
3.12. Прямые потери, отраженные на счетах по учету расходов, убытков в бухгалтерском учете в соответствии с Положением «О порядке определения доходов, расходов и прочего совокупного дохода финансовых организаций», и приравненных к ним счетах по учету дебиторской задолженности, классифицируются финансовой организацией (головной финансовой организацией банковской группы) по следующим видам.
3.12.1. Снижение (обесценение) стоимости активов. Данный вид потерь включает в себя следующие виды потерь второго уровня:
3.12.2. Досрочное списание (выбытие, потеря, уничтожение) материальных и нематериальных, финансовых активов в результате реализации события операционного риска.
3.12.3. Денежные выплаты клиентам, контрагентам, работникам финансовой организации и другим третьим лицам в целях компенсации им во внеочередном порядке убытков, понесенных ими как в результате действий третьих лиц, так и в результате реализации иных источников операционного риска, в том числе компенсированные финансовой организацией хищения средств клиентов, контрагентов, работников и третьих лиц (с раздельным учетом потерь, которые были компенсированы финансовой организацией, и потерь, которые впоследствии были компенсированы третьими лицами, в том числе страховыми организациями, иностранными страховыми организациями).
Финансовая организация (головная финансовая организация банковской группы) классифицирует вид прямых потерь, указанный в абзаце первом настоящего подпункта, в разрезе работников, а также клиентов, контрагентов и третьих лиц по следующим группам: физические лица, индивидуальные предприниматели, лица, занимающиеся частной практикой, юридические лица.
3.12.4. Денежные выплаты работникам финансовой организации в целях компенсации им во внеочередном порядке убытков, понесенных ими по вине финансовой организации.
3.12.5. Потери от ошибочных платежей, включающие:
потери в размере ошибочного платежа;
потери в виде уплаченных комиссий по проведению ошибочного платежа;
потери, связанные с поиском возможности возврата ошибочного платежа.
3.12.6. Расходы (выплаты), связанные с решениями суда и (или) представительством финансовой организации в судах по делам, связанным с потерями от реализации событий операционного риска, включающие:
3.12.7. Штрафы, наложенные исполнительными государственными органами и (или) Государственным банком.
3.12.8. Расходы на устранение последствий реализации события операционного риска, направленные на восстановление деятельности и (или) снижение потерь от реализовавшегося события операционного риска.
3.12.9. Отрицательный финансовый результат от невыгодных для финансовой организации сделок, совершенных по причине операционного риска, в том числе переоценка стоимости активов в сторону уменьшения и (или) исключения из расчета величины собственных средств (капитала) по предписанию Государственного банка.
3.12.10. Прочие потери, связанные с реализацией события операционного риска или устранением последствий события операционного риска.
3.13. Непрямые потери финансовой организации (головной финансовой организации банковской группы с учетом влияния событий операционного риска участников банковской группы), не отраженные в бухгалтерском учете, но косвенно связанные с событиями операционного риска, классифицируются финансовой организацией (головной финансовой организации банковской группы) на потери, определяемые расчетным методом в денежном выражении (далее – косвенные потери), потери, определяемые с использованием экспертного мнения (далее – качественные потери) в случае, если потери не выражены в денежном выражении расчетным способом, а также потери финансовой организации, не реализовавшиеся в виде прямых и косвенных потерь, которые могли бы возникнуть при реализации не выявленных финансовой организацией источников операционного риска и (или) при неблагоприятном стечении обстоятельств (например, нарушение работником финансовой организации лимита, которое при данном стечении обстоятельств не привело к прямым потерям в результате реализации события операционного риска) (далее – потенциальные потери).
3.13.1. Косвенные потери включают в себя:
3.13.2. Качественные потери включают в себя:
Финансовая организация (головная финансовая организация банковской группы) в отношении каждой качественной потери проводит оценку ее значимости в соответствии с установленной во внутренних документах финансовой организации (головной финансовой организации банковской группы) шкалой качественных оценок потерь по четырехуровневой шкале: «очень высокие», «высокие», «средние», «низкие».
Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах критерии шкалы качественных оценок и методику определения оценок для качественных потерь от реализации события операционного риска, включая критерии соотнесения шкалы качественных оценок с количественными потерями.
3.13.3. Потенциальные потери включают в себя:
Финансовая организация (головная финансовая организация банковской группы) классифицирует потери, указанные в абзаце втором настоящего подпункта, в разрезе клиентов и контрагентов по следующим группам:
физические лица, бизнесмены, лица, занимающиеся частной практикой, юридические лица.
3.14. В случае если финансовая организация (головная финансовая организация банковской группы) использует дополнительную классификацию видов потерь, финансовая организация (головная финансовая организация банковской группы) устанавливает их во внутренних документах, включая порядок их определения и актуализации.
3.15. Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах методы и порядок определения прямых и непрямых потерь, порядок отнесения расходов финансовой организации (головной финансовой организацией банковской группы) по событиям операционного риска.
.
Глава 4. Дополнительные элементы системы управления операционным риском.
.
4.1. Система управления операционным риском в финансовой организации (головной финансовой организации банковской группы) в дополнение к элементам, предусмотренным в пункте 1.3 настоящего Положения, включает следующие элементы:
4.1.1. Перечень процессов финансовой организации (головной финансовой организации банковской группы), отнесенных к направлениям деятельности (в разрезе составляющих их процессов), приведенным в пункте 3.9 настоящего Положения, в том числе технологических процессов, требующих обеспечения информационного взаимодействия, обработки и хранения информации с помощью информационных систем (далее – технологические процессы), с указанием уровня их критичности, функций подразделений, ответственных за осуществление операций и сделок и за результаты процесса, и подразделений – участников процессов.
По уровню критичности процессы финансовой организации (головной финансовой организации банковской группы) подразделяются на критически важные, основные и прочие.
К критически важным процессам относятся процессы, которые обеспечивают выполнение операций финансовой организации (головной финансовой организации банковской группы), указанных в пунктах 1 – 4 и 9 части первой статьи 5 Закона «О банках и банковской деятельности», ведение бухгалтерского учета, представление отчетности в Государственный банк в соответствии с Указанием «О перечне, формах и порядке составления и представления форм отчетности финансовых организаций в Государственный банк», поддержание ликвидности, выполнение операций на финансовых рынках, кассовых операций, работу онлайн–сервисов дистанционного обслуживания и доступа к осуществлению операций, соблюдение требований Закона «О персональных данных», Трудового законодательства, Закона «О банках и банковской деятельности» (далее – критически важные операции), а также другие процессы, которые определены финансовой организацией (головной финансовой организацией банковской группы) и прерывание функционирования которых оказывает влияние на выполнение обязательств перед клиентами и контрагентами финансовой организации (головной финансовой организации банковской группы).
К основным процессам относятся процессы, которые обеспечивают выполнение операций, указанных в пунктах 5 – 7.3 части первой статьи 5 Закона «О банках и банковской деятельности», в случае если они не отнесены финансовой организацией (головной финансовой организацией банковской группы) к критически важным процессам, а также процессы, которые обеспечивают выполнение операций и услуг, объем которых формирует величину расходов и (или) доходов финансовой организации (головной финансовой организации банковской группы) более 5 процентов от дохода за отчетный год для целей расчета капитала на покрытие операционного риска, определяемого в соответствии с пунктом 3 Положения «О порядке расчета размера операционного риска», (далее – доход за год для целей расчета капитала на покрытие операционного риска), в случае если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска», или более 5 процентов от величины бизнес–индикатора финансовой организации (головной финансовой организации банковской группы) на последнюю дату ее расчета, которая определяется в соответствии с пунктом 2.2 Положения «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением», в случае если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением». Финансовая организация (головная финансовая организация банковской группы) проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра основных процессов с учетом пункта 4.6 настоящего Положения.
К прочим процессам относятся процессы, не отнесенные финансовой организацией (головной финансовой организацией банковской группы) к критически важным процессам или основным процессам.
4.1.2. Политика управления операционным риском и внутренние документы, описывающие процедуры управления операционным риском, а также процедуры оценки эффективности функционирования системы управления операционным риском.
4.1.3. Внутренние документы, устанавливающие в финансовой организации (головной финансовой организации банковской группы) структуру и организацию системы управления операционным риском, в том числе полномочия и функции руководителей подразделения, ответственного за организацию управления операционным риском, специализированных подразделений, центров компетенций с учетом исключения конфликта интересов.
Дочерние финансовые организации должны согласовывать внутренние документы по структуре и организации системы управления операционным риском, а также внутренние документы, указанные в подпункте 4.1.2 настоящего пункта, с головной финансовой организацией банковской группы.
4.1.4. Порядок оценки уполномоченным подразделением и (или) организацией, осуществляющей внешний аудит, эффективности функционирования системы управления операционным риском, в том числе выполнения принятых в финансовой организации (головной финансовой организации банковской группы) процедур управления операционным риском.
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах уполномоченное подразделение, а также правила привлечения для оценки эффективности функционирования системы управления операционным риском внешних экспертов.
4.1.5. Комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включая случаи фактической реализации риска нарушения непрерывности деятельности финансовой организации (головной финансовой организации банковской группы), в том числе случаи фактического нарушения требований к операционной надежности (далее – событие риска нарушения непрерывности деятельности).
Мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, включают:
Мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включают:
Финансовая организация (головная финансовая организация банковской группы) в зависимости от осуществляемых операций и (или) действующих процессов определяет во внутренних документах комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска.
Головная финансовая организация банковской группы должна обеспечить выполнение комплекса мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, реализуемого у участников банковской группы.
4.1.6. Способы мотивации работников финансовой организации (головной финансовой организации банковской группы) к совершению следующих действий при участии в управлении операционным риском:
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах способы мотивации работников финансовой организации (головной финансовой организации банковской группы) в участии в управлении операционным риском, включающие требование соблюдения контрольных показателей уровня операционного риска, установленных в соответствии с главой 5 настоящего Положения, а также категории работников, на которые распространяются способы мотивации, указанные в настоящем подпункте.
4.1.7. Отчеты по операционному риску и информация о событиях операционного риска, формируемые финансовой организацией (головной финансовой организацией банковской группы) в соответствии с пунктом 4.2 настоящего Положения.
4.2. Подразделение, ответственное за организацию управления операционным риском, формирует отчеты по операционному риску на ежеквартальной и ежегодной основе и обеспечивает ежедневное направление информации о событиях операционного риска или предоставление доступа к такой информации руководителю службы управления рисками.
4.2.1. Подразделение, ответственное за организацию управления операционным риском, ежедневно направляет руководителю службы управления рисками информацию о событиях операционного риска, зарегистрированных в базе событий за отчетную дату, предшествующую дате подготовке информации, об обстоятельствах их возникновения и их влиянии на соблюдение плановых (целевых) показателей уровня операционного риска, установленных в соответствии с пунктом 4.5 настоящего Положения, другую информацию (при наличии).
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок информирования руководителя службы управления рисками и критерии значимости событий операционного риска, включаемых в ежедневное информирование по операционному риску.
В случае если в финансовой организации (головной финансовой организации банковской группы) применяются программно–аппаратные средства, позволяющие обеспечить автоматизированное формирование информации из базы событий и ее направление в электронном виде руководителю службы управления рисками, а также организацию прямого доступа к базе событий (или другому информационному ресурсу) для самостоятельного просмотра (выгрузки) информации работниками службы управления рисками, финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок организации этих действий.
4.2.2. Подразделение, ответственное за организацию управления операционным риском, ежеквартально на определенную финансовой организацией (головной финансовой организацией банковской группы) отчетную дату формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) следующие отчеты:
4.2.3. Подразделение, ответственное за организацию управления операционным риском, ежегодно формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) отчет об управлении операционным риском за год, содержащий сведения о проведенных мероприятиях и работах, которые планируется провести в целях уменьшения негативного влияния риска операционного риска, а также информацию, указанную в абзацах втором – четвертом подпункта 4.2.2 настоящего пункта.
Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах порядок предоставления на рассмотрение совета участников (наблюдательного совета) отчета об управлении операционным риском за год.
4.2.4. Информация о событиях операционного риска, включая события риска информационной безопасности, включается финансовой организацией (головной финансовой организацией банковской группы) в отчеты, указанные в подпункте 4.2.2 настоящего пункта, в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, типов событий операционного риска и источников операционного риска отдельно по видам операционного риска и содержит в том числе следующие показатели:
4.2.5. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) рассматривает в установленные во внутренних документах финансовой организации (головной финансовой организации банковской группы) сроки (но не позднее двадцати рабочих дней со дня получения на рассмотрение) отчеты по операционным рискам финансовой организации (головной финансовой организации банковской группы) и дает поручения по разработке мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, с указанием ответственных за реализацию мероприятий подразделений и сроков выполнения.
Отчеты по операционным рискам должны храниться финансовой организацией (головной финансовой организацией банковской группы) не менее десяти лет со дня рассмотрения коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы).
4.3. Финансовая организация (головная финансовая организация банковской группы) дополнительно устанавливает во внутренних документах следующие требования:
4.3.1. Требования к информационной системе, обеспечивающей управление операционным риском и включающей автоматизацию ведения базы событий и процедур управления операционным риском.
Финансовая организация (головная финансовая организации банковской группы) организует информационный обмен информационной системы, обеспечивающей управление операционным риском, с другими информационными системами финансовой организации (головной финансовой организации банковской группы), позволяющими получать первичную информацию о сбоях систем и оборудования, об ошибках, отклонениях в процессах финансовой организации (головной финансовой организации банковской группы) и о реализации событий операционного риска, в зависимости от осуществляемых операций и (или) действующих процессов.
4.3.2. Требования к управлению модельным риском, включающие соблюдение следующих процедур:
4.3.3. Требования к перечню процессов финансовой организации (головной финансовой организации банковской группы), указанному в подпункте 4.1.1 пункта 4.1 настоящего Положения.
Финансовая организация (головная финансовая организации банковской группы) при составлении и ведении перечня процессов финансовой организации (головной финансовой организации банковской группы), указанного в подпункте 4.1.1 пункта 4.1 настоящего Положения, обеспечивает:
4.3.4. Требования к управлению операционным риском, возникающим при внесении изменений в критически важные процессы финансовой организации (головной финансовой организации банковской группы) и (или) информационные системы, используемые при выполнении критически важных процессов, включающие соблюдение следующих процедур:
4.4. Уполномоченное подразделение финансовой организации (головной финансовой организации банковской группы) в соответствии с порядком, указанным в подпункте 4.1.4 пункта 4.1 настоящего Положения, ежегодно осуществляет оценку эффективности функционирования системы управления операционным риском, включающую оценку:
4.5. Финансовая организация (головная финансовая организация банковской группы) в целях осуществления контроля за объемом операционного риска, принятым в финансовой организации (головной финансовой организацией банковской группы), в соответствии с пунктом 3.4 Указания «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы» разрабатывает и устанавливает плановые (целевые) показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, которые формируются финансовой организацией (головной финансовой организацией банковской группы) на основе следующих данных, характеризующих объемы операций, подверженных операционному риску за определенный период (день, неделя, месяц, квартал, полугодие, девять месяцев, год):
Финансовая организация (головная финансовая организация банковской группы) соотносит данные, характеризующие объем операций, с зарегистрированными в базе событий потерями и определяет показатели уровня операционного риска, порядок соблюдения которых устанавливается финансовой организацией (головной финансовой организацией банковской группы) во внутренних документах.
4.6. Подразделение, ответственное за организацию управления операционным риском, проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра требований политики управления операционным риском в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов, результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, изменений в стратегии управления рисками и капиталом и направляет результаты анализа на рассмотрение коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы) для принятия решения о необходимости внесения изменений во внутренние документы, указанные в подпунктах 4.1.2 и 4.1.3 пункта 4.1 настоящего Положения.
.
Глава 5. Система контрольных показателей уровня операционного риска.
.
5.1. В целях контроля за уровнем операционного риска финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах на плановый годовой период в соответствии с приложением 1 к настоящему Положению контрольные показатели уровня операционного риска, а также устанавливает целевые значения этих показателей: значение показателя, при нарушении которого проводится ежедневный мониторинг значений показателя и реализация мер, направленных на устранение превышения фактического значения данного показателя над предельно допустимым значением показателя (далее – сигнальное значение), и предельно допустимое значение показателя, при нарушении которого информация доводится до совета участников (наблюдательного совета) и применяются меры реагирования, которые описаны во внутренних документах финансовой организации (головной финансовой организации банковской группы) в соответствии с пунктом 5.4 настоящего Положения (далее – контрольное значение).
5.2. Совет участников (наблюдательный совет) финансовой организации (головной финансовой организации банковской группы):
5.3. Подразделение, ответственное за организацию управления операционным риском, проводит расчет сигнальных и контрольных значений контрольных показателей уровня операционного риска на основе статистических данных о событиях операционного риска за период не менее десяти лет в соответствии с установленным во внутренних документах финансовой организации (головной финансовой организацией банковской группы) порядком.
В случае если период ведения базы событий составляет менее десяти лет, финансовая организация (головная финансовая организация банковской группы) определяет методику учета недостающих данных во внутренних документах и производит расчет на основе фактически имеющегося периода наблюдений с последующим добавлением данных за новые годы по мере их накопления вплоть до достижения десяти лет.
Подразделение, ответственное за организацию управления операционным риском, оформляет расчет и обоснование сигнальных и контрольных значений контрольных показателей уровня операционного риска в виде заключения и включает его в состав материалов, направляемых им на рассмотрение коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы) при утверждении (пересмотре) политики управления операционным риском.
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах орган управления финансовой организации (головной финансовой организации банковской группы), который утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска на плановый годовой период в разрезе направлений деятельности, в том числе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса, с учетом сигнальных и контрольных значений контрольных показателей уровня операционного риска в целом по финансовой организации (головной финансовой организации банковской группы), утвержденных в соответствии с абзацем вторым пункта 5.2 настоящего Положения.
5.4. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок действий должностных лиц в соответствии с пунктом 1.1 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы», а также определяет функции и ответственность органов управления и подразделений финансовой организации (головной финансовой организации банковской группы), комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска или пересмотр сигнальных и контрольных значений контрольных показателей уровня операционного риска, в том числе порядок информирования совета участников (наблюдательного совета) финансовой организации (головной финансовой организации банковской группы) в случае нарушения контрольных значений контрольных показателей уровня операционного риска.
.
Глава 6. Ведение базы событий.
.
6.1. Финансовая организация (головная финансовая организация банковской группы) осуществляет ведение на постоянной основе базы событий.
6.2. Порядок ведения базы событий, включая требования к форме и содержанию вводимой информации, должен быть установлен во внутренних документах финансовой организации (головной финансовой организации банковской группы).
6.3. Головная финансовая организация банковской группы определяет во внутренних документах порядок ведения базы событий консолидировано по банковской группе с учетом потерь от реализации операционного риска у участников банковской группы. В случае раздельного ведения базы событий дочерние финансовые организации на ежемесячной основе предоставляют данные о событиях операционного риска и потерях в головную финансовую организацию банковской группы в целях расчета объема капитала банковской группы, выделяемого на покрытие потерь от реализации операционного риска, и соблюдения ВПОДК банковской группы.
В случае если база событий ведется головной финансовой организацией банковской группы раздельно с дочерними финансовыми организациями, дочерние финансовые организации определяют во внутренних документах порядок ведения базы событий, который согласовывают с головной финансовой организацией банковской группы.
В случае если дочерние финансовые организации ведут учет событий операционного риска по элементам классификации, отличным от предусмотренных главой 3 настоящего Положения, головная финансовая организация банковской группы устанавливает во внутренних документах правила соотнесения классификации событий операционного риска дочерних финансовых организаций, ведущих учет событий операционного риска по другим элементам классификации, с требованиями главы 3 настоящего Положения и определяет порядок предоставления отчетов дочерних финансовых организаций с учетом правил соотнесения классификации.
Головная финансовая организация банковской группы в случае необходимости определяет во внутренних документах дополнительные отчеты участников банковской группы по операционному риску, направляемые в головную финансовую организацию банковской группы.
6.4. Данные о событиях операционного риска и потерях от реализации событий операционного риска должны охватывать всю деятельность финансовой организации (головной финансовой организации банковской группы), все подразделения, организационные, информационные и технологические системы и регионы присутствия финансовой организации (головной финансовой организации банковской группы).
Финансовая организация (головная финансовая организация банковской группы) обеспечивает наличие в базе событий подробной информации о причинах и обстоятельствах реализованных событий операционного риска.
6.5. Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах величину прямых и непрямых потерь от реализации события операционного риска, при котором финансовая организация (головная финансовая организация банковской группы) регистрирует событие операционного риска в базе событий (далее – порог регистрации).
Порог регистрации устанавливается финансовой организацией (головной финансовой организацией банковской группы) в зависимости от величины потерь и типа событий операционного риска:
Дочерняя финансовая организация банковской группы, созданная в соответствии с правом иностранного государства, регулирование деятельности которой осуществляется банком и (или) иным органом надзора иностранного государства, в функции которого входят банковский надзор и надзор за финансовым рынком, соблюдает порог регистрации событий операционного риска в соответствии с требованиями, установленными банком и (или) иным органом иностранного государства, в юрисдикции которых находится данная дочерняя финансовая организация банковской группы. В случае если банком и (или) иным органом надзора иностранного государства, в функции которого входят банковский надзор и надзор за финансовым рынком, в юрисдикции которых находится данная дочерняя финансовая организация банковской группы, не установлены требования к порогу регистрации событий операционного риска в базе событий, головная финансовая организация банковской группы устанавливает во внутренних документах для данных дочерних финансовых организаций порог регистрации событий операционного риска в базе событий, предусмотренный настоящим пунктом.
В случае если событие операционного риска привело только к качественным потерям, оценка значимости которых в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения соотносится с уровнем «средние» или «низкие», финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах требования к регистрации таких событий операционного риска в базе событий.
Основанием для регистрации событий, повлекших потери, указанные в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, является результат рассмотрения финансовой организацией (головной финансовой организацией банковской группы) обращений клиентов, контрагентов, работников и третьих лиц в установленном во внутренних документах порядке.
6.6. База событий финансовой организации (головной финансовой организации банковской группы, финансовых организаций банковской группы в случае раздельного ведения базы событий) должна содержать следующую информацию:
Группа полей базы событий, содержащая информацию о потерях от реализации события операционного риска по каждому виду потерь и возмещений, включает:
Группа полей базы событий, содержащая информацию о полученном возмещении понесенных потерь, определяемом в соответствии с пунктом 6.17 настоящего Положения, включает:
В случае если сумма потерь и возмещений отражается финансовой организацией (головной финансовой организацией банковской группы) в иностранной валюте, пересчет в национальную валюту осуществляется финансовой организацией (головной финансовой организацией банковской группы) в базе событий эквивалентно.
В случае если сумма возмещений в национальной валюте, рассчитанная в соответствии с курсом иностранной валюты, установленным Государственным банком, превышает сумму потерь в национальной валюте, в базе событий должна быть отражена сумма потерь в национальной валюте.
В случае если финансовая организация (головная финансовая организация банковской группы) использует дополнительные поля базы событий, финансовая организация (головная финансовая организация банковской группы) определяет их во внутренних документах.
6.7. Финансовая организация (головная финансовая организация банковской группы) ежемесячно на отчетную дату определяет величину валовых прямых потерь от реализации событий операционного риска со статусом «оценка потерь от реализации события операционного риска не завершена» начиная от даты регистрации события операционного риска в базе событий и от начала календарного года (в случае, если событие операционного риска реализовалось ранее текущего календарного года) нарастающим итогом. Также в расчет валовых прямых потерь финансовой организацией (головной финансовой организацией банковской группы) включаются прямые потери от реализации событий операционного риска, статус которых был переведен в статус «оценка потерь от реализации события операционного риска завершена», в течение отчетного месяца.
Головная финансовая организация банковской группы для целей расчета величины валовых прямых потерь по банковской группе осуществляет перерасчет величины валовых прямых потерь и последующих возмещений от событий операционного риска, произошедших у иностранных дочерних финансовых организаций, ведущих учет событий операционного риска в иностранной валюте, в рубли по курсу иностранной валюты, установленному Государственным банком, на отчетную дату, с последующим ежемесячным перерасчетом на отчетную дату.
6.7.1. В расчет величины валовых прямых потерь финансовой организацией (головной финансовой организацией банковской группы) включаются:
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок учета величины валовых прямых потерь, позволяющий точно определять уровень операционного риска, в том числе для целей расчета показателя, указанного в абзаце седьмом подпункта 1.1.1 пункта 1 приложения 1 к настоящему Положению.
6.7.2. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок идентификации прямых потерь и возмещений в разрезе всех событий операционного риска, повлекших потери, с указанием дат учета, сумм и реквизитов бухгалтерских записей.
6.7.3. В валовые прямые потери финансовой организацией (головной финансовой организацией банковской группы) не включаются:
6.8. По одному событию операционного риска финансовой организацией (головной финансовой организацией банковской группы) выявляются и учитываются в базе событий все виды произошедших потерь. Каждая потеря отражается финансовой организацией (головной финансовой организацией банковской группы) в базе событий отдельной записью с указанием идентификатора записи потери и номера бухгалтерской записи (идентификатора бухгалтерской записи), даты учета потери и с пометкой о связи с другим видом риска.
Финансовая организация (головная финансовая организация банковской группы) указывает перечень всех бухгалтерских записей одного вида потерь от реализации события операционного риска при указании в базе событий информации, приведенной в абзаце тринадцатом пункта 6.6 настоящего Положения, или в виде вложения со списком всех бухгалтерских записей в разбивке по суммам.
6.9. Финансовая организация (головная финансовая организация банковской группы) ведет учет потерь от реализации событий всех видов операционного риска, в том числе событий риска нарушения непрерывности деятельности, событий операционного риска, связанных с потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, и событий других нефинансовых рисков в составе общей базы событий либо раздельно. При этом финансовая организация (головная финансовая организация банковской группы) устанавливает единый подход к идентификации, оценке и классификации в соответствии с главами 2 и 3 настоящего Положения, исключающий дублирование и пропуски информации, в целях определения количественных контрольных показателей уровня операционного риска, указанных в приложении 1 к настоящему Положению.
6.10. В случае если финансовая организация (головная финансовая организация банковской группы) ведет базу событий отдельных видов операционного риска, событий регуляторного риска и (или) событий других нефинансовых рисков раздельно, финансовая организация (головная финансовая организация банковской группы) ежемесячно на отчетную дату включает события регуляторного риска и других нефинансовых рисков с прямыми потерями, связанными с реализацией операционного риска, в состав базы событий с учетом исключения пропусков и дублирования потерь, связанных с раздельным ведением баз событий.
6.11. В случае если у события операционного риска потери распределены по разным учетным периодам (годам), данные потери в базе событий должны быть отнесены к годам их отражения на счетах бухгалтерского учета.
6.12. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах специальные критерии для определения данных о потерях, вызванных единичными событиями операционного риска, и о потерях, вызванных однородными событиями операционного риска, произошедшими в течение установленного во внутренних документах периода времени (группа событий).
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах критерии однородности событий операционного риска для целей их группировки (например, события операционного риска объединяются финансовой организацией (головной финансовой организацией банковской группы) в одну группу в случае, если у них одинаковый источник операционного риска, один и тот же процесс или этап процесса, тип события операционного риска и (или) вид потерь, а период времени возникновения составил не более 48 часов). Группировка событий операционного риска должна быть предметом оценки, проводимой уполномоченным подразделением.
Финансовая организация (головная финансовая организация банковской группы) регистрирует группу событий в базе событий как одно событие операционного риска с указанием количества событий операционного риска, включенных в группу событий.
6.13. Возмещения потерь отражаются в группе полей базы событий, содержащей информацию о полученном возмещении понесенных потерь, по каждому событию операционного риска. Каждое возмещение потерь должно быть связано с регистрацией в бухгалтерском учете компенсации потери от реализации события операционного риска, отражено на счетах бухгалтерского учета в виде бухгалтерской записи по счетам доходов (прибылей), обратной бухгалтерской записи по счетам расходов или убытков, другой бухгалтерской записи по счетам бухгалтерского учета, отражающих поступление возмещения, с указанием номера бухгалтерской записи (идентификатора бухгалтерской записи), даты записи.
6.14. Финансовая организация (головная финансовая организация банковской группы) отражает в базе событий все возмещения одного вида по каждой прямой потере от реализации события операционного риска при указании в базе событий информации, приведенной в абзаце тринадцатом пункта 6.6 настоящего Положения, или в виде вложения со списком всех бухгалтерских записей в разбивке по суммам.
Финансовая организация (головная финансовая организация банковской группы) в случае получения возмещения по косвенным потерям (включая страховые выплаты, направленные на возмещение убытков, связанных с нарушением операционной устойчивости финансовой организации (головной финансовой организации банковской группы) и (или) приостановкой основных и прочих процессов, определяемых финансовой организацией (головной финансовой организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, из–за реализации источников операционного риска) вправе учитывать полученные возмещения при определении величины косвенной потери расчетным методом как без отражения отдельной записи о возмещении в базе событий (производится перерасчет величины косвенной потери с указанием информации о полученном возмещении), так и с отражением в базе событий отдельной записи о сумме полученного возмещения.
6.15. Виды возмещений потерь:
6.16. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок контроля за своевременностью отражения возмещения потерь от реализации событий операционного риска.
6.17. Финансовая организация (головная финансовая организация банковской группы) должна учитывать в базе событий отдельно валовые потери и чистые потери, определяемые в соответствии с пунктом 6.18 настоящего Положения. Возмещение используется финансовой организацией (головной финансовой организацией банковской группы) для уменьшения потерь только после того, как платеж получен финансовой организацией (головной финансовой организацией банковской группы) и отражен на счетах бухгалтерского учета. Дебиторская задолженность не является возмещением. Финансовая организация (головная финансовая организация банковской группы) в целях расчета суммы чистых потерь по событию операционного риска учитывает сумму возмещений, не превышающую сумму потерь в национальной валюте. Финансовая организация (головная финансовая организация банковской группы) вправе не отражать поступившие возмещения в базе событий. В этом случае сумма чистых потерь от реализации события операционного риска в базе событий должна быть равна сумме валовых потерь от реализации данного события операционного риска.
В случае поступления возмещения от третьего лица в базе событий финансовая организация (головная финансовая организация банковской группы) указывает наименование третьего лица и его характеристики (например, страховая организация, контрагент, признак связи с финансовой организацией или банковской группой).
К зачету сумм возмещения финансовой организацией (головной финансовой организации банковской группы) не принимаются следующие виды возмещений:
Проверка достоверности, полноты и своевременности учета возмещений должна включаться финансовой организацией (головной финансовой организацией банковской группы) в программу оценки эффективности функционирования системы управления операционным риском, проводимой уполномоченным подразделением.
6.18. Чистые потери от реализации события операционного риска определяются как потери за вычетом суммы возмещений с учетом требований пункта 6.17 настоящего Положения.
6.19. В случае корректировки значения потерь и возмещений в базе событий предыдущее значение потерь финансовой организацией (головной финансовой организацией банковской группы) не исправляется, а добавляется новая информация с новым значением (должна быть обеспечена сохранность предыдущих значений).
Информация о событиях операционного риска в базе событий подлежит ежегодной независимой оценке, проводимой уполномоченным подразделением.
6.20. Финансовая организация (головная финансовая организация банковской группы) обеспечивает сохранность всех записей в базе событий. Внесение изменений и дополнений в информацию базы событий фиксируется финансовой организацией (головной финансовой организацией банковской группы) с указанием фамилии, имени, отчества (последнее при наличии) работника, сделавшего исправление, даты и основания исправления. Корректность исправления записи в соответствии с указанным основанием подлежит верификации в соответствии с внутренними документами финансовой организации (головной финансовой организации банковской группы).
6.21. Финансовая организация (головная финансовая организация банковской группы) устанавливает перечень должностей работников финансовой организации (головной финансовой организации банковской группы) с возложением полномочий и персональной ответственности на лиц, их замещающих, за несоблюдение требований внутренних документов по ведению базы событий, в том числе указывает во внутренних документах:
перечень должностей работников, ответственных за ведение базы событий;
.
Глава 7. Управление риском информационной безопасности.
.
7.1. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок управления риском информационной безопасности.
7.2. Риск информационной безопасности включает в себя:
7.3. Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Государственным банком контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», и Положением «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», (далее – инциденты защиты информации), вследствие которых возникли прямые и (или) непрямые потери финансовой организации (головной финансовой организации банковской группы) (далее – событие риска информационной безопасности), фиксируются финансовой организацией (головной финансовой организацией банковской группы) в базе событий с присвоением вида операционного риска в соответствии с абзацем семнадцатым пункта 6.6 настоящего Положения.
Негативное влияние риска информационной безопасности должно определяться в виде потерь, приведенных в пункте 3.11 настоящего Положения и пункте 4 приложения 5 к настоящему Положению.
7.4. Финансовая организация (головная финансовая организация банковской группы) классифицирует события риска информационной безопасности по источникам операционного риска в соответствии с пунктом 3.3 настоящего Положения, а также по уязвимостям информационных систем и их компонентов как источникам последующих уровней классификации источников событий операционного риска в соответствии с пунктом 3.4 настоящего Положения, обусловленным недостатками процессов обеспечения защиты информации, способствующими реализации угрозы безопасности информации (совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации).
7.5. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий, так и в отдельной базе событий риска информационной безопасности). В случае если финансовая организация (головная финансовая организация банковской группы) ведет отдельную базу событий риска информационной безопасности, подразделению (работникам), ответственному (ответственным) за организацию и контроль обеспечения защиты информации (далее – служба информационной безопасности), необходимо соблюдать требования к классификации событий риска информационной безопасности в соответствии с пунктами 3.3 – 3.15 настоящего Положения и требования к ведению базы событий в соответствии с пунктами 6.6 – 6.21 настоящего Положения.
7.6. Финансовая организация (головная финансовая организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 5 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения и пунктом 4 приложения 5 к настоящему Положению с распределением по датам отражения в бухгалтерском учете, с раздельным учетом поступивших возмещений. В случае выявления событий риска информационной безопасности, связанных с не контролируемым финансовой организацией (головной финансовой организацией банковской группы) распространением сведений, составляющих банковскую тайну, финансовая организация (головная финансовая организация банковской группы) обеспечивает их регистрацию в базе событий, включающую описание указанных событий риска информационной безопасности в соответствии с пунктом 6.6 настоящего Положения.
7.7. Финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе:
7.8. В политике информационной безопасности финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационной безопасности определяет:
Политика информационной безопасности должна утверждаться коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы).
Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) несет ответственность за соблюдение требований политики информационной безопасности.
7.9. Финансовая организация (головная финансовая организация банковской группы) с учетом требований, указанных в главе 9 настоящего Положения, определяет выполнение службой информационной безопасности или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности, следующих функций.
7.9.1. В целях обеспечения информационной безопасности:
7.9.2. В целях управления риском информационной безопасности:
7.10. Служба информационной безопасности формирует сводные отчеты по рискам информационной безопасности, направляемые на рассмотрение должностному лицу, ответственному за обеспечение информационной безопасности, и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы), в дополнение к отчетам, формируемым подразделением, ответственным за организацию управления операционным риском в соответствии с пунктом 4.2 настоящего Положения.
Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах порядок и сроки представления данных отчетов.
7.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных настоящей главой, в рамках оценки эффективности системы управления операционным риском.
.
Глава 8. Управление риском информационных систем.
.
8.1. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок управления риском информационных систем, включающий мероприятия и процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах.
8.2. В целях управления риском информационных систем финансовая организация (головная финансовая организация банковской группы) во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов финансовой организации (головной финансовой организации банковской группы) и обеспечивает ее соблюдение.
8.3. В политике информационных систем финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационных систем определяет:
Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) несет ответственность за соблюдение требований политики информационных систем.
8.4. Должностное лицо, ответственное за информационные системы, проводит не реже одного раза в год анализ необходимости пересмотра требований политики информационных систем в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития финансовой организации (головной финансовой организации банковской группы), результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, и направляет результаты анализа на рассмотрение коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) для принятия решения о необходимости внесения изменений в политику информационных систем и внутренние документы.
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок и правила проведения анализа и пересмотра политики информационных систем.
8.5. Финансовая организация (головная финансовая организация банковской группы) описывает во внутренних документах архитектуру информационных систем и состав ее элементов, в том числе с учетом оценки влияния на них третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы):
8.6. Финансовая организация (головная финансовая организация банковской группы) обеспечивает проведение подразделениями финансовой организации (головной финансовой организации банковской группы) мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, влияющих на информационные системы (в том числе рисков уничтожения (искажения, безвозвратного удаления) носителей и (или) хранилищ информации и данных, хранящихся в информационных системах).
8.7. Финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационных систем разрабатывает во внутренних документах и соблюдает требования к информационным системам с учетом их влияния на обеспечение бесперебойной работы процессов и операционную устойчивость финансовой организации (головной финансовой организации банковской группы).
8.7.1. Требования к структуре информационных систем, включая требования к:
8.7.2. Требования к стандартизации и унификации, используемые при создании, модернизации и эксплуатации информационных систем, включая требования к:
8.7.3. Требования к надежности функционирования информационных систем, включая требования к:
8.7.4. Требования к обеспечению качества данных в информационных системах в разрезе характеристик качества данных в рамках обеспечения функционирования процессов, включая требования к:
Финансовая организация (головная финансовая организация банковской группы) с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей определяет во внутренних документах дополнительные характеристики качества данных в информационных системах, включающие разработку методики обеспечения качества данных и порядка обеспечения качества данных.
8.7.5. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающую следующие элементы:
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах другие элементы методики обеспечения качества данных в информационных системах.
Финансовая организация (головная финансовая организация банковской группы) применяет элементы методики обеспечения качества данных с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также их типов и форматов.
8.7.6. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающий следующие элементы:
Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах другие элементы порядка обеспечения качества данных в информационных системах.
8.7.7. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах дополнительные требования к информационным системам и их функционированию с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.
8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) для принятия решения о пересмотре требований к информационным системам.
8.8. Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах и соблюдает следующие требования по обеспечению непрерывности и качества функционирования информационных систем:
8.8.1. Разработка, реализация и контроль выполнения требований к информационным системам, обеспечивающим функционирование системы информационной безопасности в соответствии с пунктом 7.7 настоящего Положения.
8.8.2. Обеспечение условий эксплуатации технических средств элементов информационных систем, а также устройств бесперебойного электропитания, пожаротушения, вентиляции и кондиционирования, резервных цифровых каналов и устройств связи, резервных носителей данных.
8.8.3. Регулярное (не реже одного раза в день) резервное копирование данных критически важных процессов на резервные технические средства, размещенные не в тех зданиях, в которых размещены действующие технические средства, обеспечивающие функционирование информационных систем в текущем рабочем режиме. Финансовая организация (головная финансовая организация банковской группы) обеспечивает надежность функционирования резервных технических средств, в том числе соблюдение требования подпункта 8.8.2 настоящего пункта, режима охраны и доступа.
8.8.4. Использование программного обеспечения, принятого в эксплуатацию с соблюдением требований подпункта 8.7.2 пункта 8.7 настоящего Положения и технических условий эксплуатации, описанных в эксплуатационной документации программного обеспечения финансовой организации (головной финансовой организации банковской группы).
8.8.5. Наличие во внутренних документах финансовой организации (головной финансовой организации банковской группы) положения и стратегии по обеспечению непрерывности и восстановления функционирования информационных систем. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах орган финансовой организации (головной финансовой организации банковской группы), который утверждает стратегию и положение по обеспечению непрерывности и восстановления функционирования информационных систем, с установлением обязательств соблюдения требований внутренних документов всеми подразделениями финансовой организации (головной финансовой организации банковской группы).
8.8.6. Проведение финансовой организацией (головной финансовой организацией банковской группы) регулярных (не реже одного раза в год) оценок состава компонентов, архитектуры, информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности для обеспечения функционирования процессов финансовой организации (головной финансовой организации банковской группы), по результатам которых финансовой организацией (головной финансовой организацией банковской группы) принимаются меры по устранению выявленных недостатков в информационных системах.
8.8.7. Ежегодное тестирование уязвимостей информационных систем и (или) их компонентов и других источников риска информационных систем, а также разработка комплекса мероприятий, направленных на устранение выявленных уязвимостей информационных систем и (или) других источников риска информационных систем.
8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) оценки соблюдения установленных настоящей главой требований, включая оценку эффективности:
Уполномоченное подразделение направляет отчеты по результатам оценки соблюдения требований, установленных настоящей главой, совету участников (наблюдательному совету) и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы), подразделению (подразделениям), ответственному (ответственным) за обеспечение функционирования информационных систем, и службе управления рисками.
8.8.9. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет подразделение (подразделения), ответственное (ответственные) за обеспечение непрерывности функционирования информационных систем, включая:
8.8.10. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в финансовой организации (головной финансовой организации банковской группы), включая его полномочия и требования к его квалификации.
8.8.11. Должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в финансовой организации (головной финансовой организации банковской группы), регулярно (не реже одного раза в год) проводит самооценку рисков информационных систем в разрезе процессов с учетом требований настоящей главы и направляет отчеты по результатам самооценки в подразделение, ответственное за организацию управления операционным риском, и (или) другому органу, установленному финансовой организацией (головной финансовой организацией банковской группы) во внутренних документах.
8.8.12. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет подразделение, ответственное за предоставление отчетов по риску информационных систем в соответствии с требованиями пункта 4.2 настоящего Положения, а также порядок предоставления отчетов подразделению, ответственному за организацию управления операционным риском.
8.8.13. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах дополнительные требования к обеспечению непрерывности и качества функционирования информационных систем с учетом осуществляемых операций и (или) действующих процессов, принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.
.
Глава 9. Соблюдение требований настоящего Положения финансовыми организациями (головной финансовой организацией банковской группы).
.
9.1. Банк, размер активов которого составляет 5 миллиардов евро и более на начало текущего отчетного года в соответствии со значением статьи «Всего активов», определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 «Бухгалтерский баланс (публикуемая форма)», установленного приложением 1 к Указанию «О перечне, формах и порядке составления и представления форм отчетности финансовых организаций в Государственный банк» (далее – банк, размер активов которого составляет 5 миллиардов евро и более):
9.1.1. обязан соблюдать:
9.1.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.1.1 настоящего пункта.
9.2. Банк с универсальным разрешением, размер активов которого составляет менее 5 миллиардов евро на начало текущего отчетного года в соответствии со значением статьи «Всего активов», определяемым в соответствии с Разработочной таблицей для составления Бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 «Бухгалтерский баланс (публикуемая форма)», установленного приложением 1 к Указанию «О перечне, формах и порядке составления и представления форм отчетности финансовых организаций в Государственный банк» (далее – банк с универсальным разрешением, размер активов которого составляет менее 5 миллиардов евро):
9.2.1. обязан соблюдать:
9.2.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения, в дополнение к способам управления операционным риском, указанным в третьем абзаце подпункта 9.2.1 настоящего пункта.
9.3. Финансовая организация (головная финансовая организация банковской группы), которая на начало текущего отчетного года является банком с базовым разрешением (далее – банк с базовым разрешением):
9.3.1. обязана соблюдать:
9.3.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.3.1 настоящего пункта.
9.4. Финансовая организация (головная финансовая организация банковской группы), которая на начало текущего отчетного года является небанковской финансовой организацией (далее – НКО), обязана соблюдать:
9.4.1. Порядок осуществления НКО, имеющей право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций (далее – платежная НКО), контроля за уровнем операционного риска при привлечении банковского платежного агента в соответствии со статьей 14 Закона «О национальной платежной системе» должен включать в себя:
9.4.2. НКО вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем настоящего пункта.
.
Глава 10. Заключительные положения.
.
10.1. Настоящее Положение вступает в силу со дня его официального опубликования.
10.2. Система управления операционным риском подлежит приведению в соответствие с требованиями настоящего Положения финансовыми организациями (головными финансовыми организациями банковской группы).
10.3. Финансовые организации (головные финансовые организации банковской группы) в случае приведения системы управления операционным риском в соответствие с требованиями настоящего Положения, вправе проинформировать об этом Государственный банк в целях организации Государственным банком оценки соответствия системы управления операционным риском требованиям настоящего Положения.
.
Утверждено Председателем Центрального банка
С.И. Шабулдаев
.
*******
.
Приложение 1 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».
.
КОНТРОЛЬНЫЕ ПОКАЗАТЕЛИ УРОВНЯ ОПЕРАЦИОННОГО РИСКА.
.
1. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок установления и контроля соблюдения следующих контрольных показателей уровня операционного риска в соответствии с главами 5 и 9 настоящего Положения.
1.1. Базовый набор показателей системы управления операционным риском включает следующие показатели:
1.1.1. Количественные контрольные показатели:
1.1.2. Качественные контрольные показатели, к которым относятся качественные оценки по четырехуровневой системе («хорошо», «удовлетворительно», «сомнительно», «неудовлетворительно») по следующим направлениям:
1.1.3. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет лимиты операционного риска на основе установленных в политике управления операционным риском значений уровней контрольных показателей путем их распределения по направлениям деятельности, в том числе в разрезе составляющих их процессов, подразделениям, видам операционного риска (риск информационной безопасности, риск информационных систем, операционный риск в целом) в соответствии с абзацами вторым – восьмым, одиннадцатым подпункта 1.1.1 настоящего пункта.
1.2. Базовый набор контрольных показателей уровня риска информационной безопасности включает следующие показатели:
1.2.1. Количественные контрольные показатели риска информационной безопасности:
При расчете количественного контрольного показателя уровня риска информационной безопасности, указанного в абзаце девятнадцатом настоящего подпункта, финансовая организация (головная финансовая организация банковского группы) определяет количество операций по переводу денежных средств без согласия клиента – физического лица как сумму количества операций по переводу денежных средств, в отношении которых финансовая организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» и по которым получены уведомления от клиентов – физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Закона «О национальной платежной системе», и количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента – физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за исключением случаев, когда получены подтверждения клиентов – физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов – физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5.3 статьи 8 Закона «О национальной платежной системе».
При расчете количественного контрольного показателя уровня риска информационной безопасности, указанного в абзаце двадцатом настоящего подпункта, финансовая организация (головная финансовая организация банковского группы) определяет сумму денежных средств по операциям по переводу денежных средств без согласия клиента – физического лица как сумму денежных средств по операциям по переводу денежных средств, в отношении которых финансовая организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» и по которым получены уведомления от клиентов – физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Закона «О национальной платежной системе», и денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента – физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за исключением случаев, когда получены подтверждения клиентов – физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов – физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5.3 статьи 8 Закона «О национальной платежной системе».
1.2.2. Качественные контрольные показатели риска информационной безопасности, к которым относятся качественные оценки по четырехуровневой системе («хорошо», «удовлетворительно», «сомнительно», «неудовлетворительно»), по направлению «оценка эффективности функционирования системы управления риском информационной безопасности, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета участников (наблюдательного совета) финансовой организации».
2. Дочерние финансовые организации, осуществляющие свою деятельность в иностранной юрисдикции, в случае противоречия национального законодательства требованиям настоящего Положения приводят в соответствие с требованиями национального законодательства показатели, указанные в настоящем приложении.
.
Приложение 2 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».
.
ПОДХОДЫ К РАСЧЕТУ ОБЪЕМА КАПИТАЛА, ВЫДЕЛЯЕМОГО ФИНАНСОВОЙ ОРГАНИЗАЦИЕЙ (ГОЛОВНОЙ ФИНАНСОВОЙ ОРГАНИЗАЦИЕЙ БАНКОВСКОЙ ГРУППЫ) НА ПОКРЫТИЕ ПОТЕРЬ ОТ РЕАЛИЗАЦИИ ОПЕРАЦИОННОГО РИСКА.
.
1. Финансовая организация (головная финансовая организация банковской группы) в целях соблюдения требований абзаца третьего подпункта 2.1.4 пункта 2.1 настоящего Положения выбирает один из следующих подходов к расчету объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска:
2. В случае если объем капитала, выделяемого на покрытие потерь от реализации событий операционного риска, по продвинутому подходу оказывается меньше, чем минимальный регуляторный капитал на покрытие операционного риска, определяемый в соответствии с пунктом 3 настоящего приложения, коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) в составе материалов, направляемых в совет участников (наблюдательный совет) для утверждения стратегии управления рисками и капиталом, представляет заключение, содержащее обоснование того, что уровень операционного риска в финансовой организации (головной финансовой организации банковской группы) оценивается им ниже, чем требуется в соответствии с регуляторным подходом.
3. Финансовая организация (головная финансовая организация банковской группы), выбравшая в соответствии с пунктом 1 настоящего приложения регуляторный подход, определяет объем капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, по формуле:
,
где:
– объем капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, включаемый в состав совокупного объема необходимого капитала, соответствующего показателю , определенному в соответствии с подпунктом 2.1.1 пункта 2.1 Инструкции «Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальным разрешением»;
– минимальный регуляторный капитал на покрытие потерь от реализации событий операционного риска, включаемый в состав совокупного объема необходимого капитала, соответствующего показателю , и выделяемый на покрытие потерь от реализации событий операционного риска, необходимый для соблюдения минимально допустимого числового значения норматива достаточности капитала Н1.i, установленного для финансовой организации в соответствии с подпунктом 2.1.1 пункта 2.1 Инструкции «Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальным разрешением» и для головной финансовой организации банковской группы в соответствии с пунктом 2.1 Положения «О расчете величины собственных средств (капитала), обязательных нормативов и размеров (лимитов) открытых валютных позиций банковских групп», определяемый по формуле:
,
где:
ОР – целевое (прогнозное) значение на планируемый период размера операционного риска, определяемого в соответствии с пунктом 2 Положения «О порядке расчета размера операционного риска» в случае, если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска», либо в соответствии с пунктом 1.2 Положения «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением» в случае, если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением»;
– минимально допустимое числовое значение норматива достаточности капитала H1.i, определенное в пункте 2.2 Инструкции «Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальным разрешением»;
– компонент объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, соответствующего: К1 – базовому капиталу банка, К2 – основному капиталу банка, К0 – величине собственных средств (капитала) банка, определенных в соответствии с методикой, установленной Положением «О методике определения собственных средств (капитала) финансовых организаций («Базель III»)», соответственно на покрытие прямых потерь (для и ), совокупных (прямых и косвенных) потерь (для ) от реализации событий риска информационной безопасности, которые определяются финансовой организацией (головной финансовой организацией банковской группы) с использованием анализа возможного превышения фактической величины чистых прямых потерь над контрольным значением контрольного показателя – общей суммой чистых прямых годовых потерь от реализации событий риска информационной безопасности, установленного в соответствии с абзацем вторым подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению;
– компонент объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, соответствующего: К1 – базовому капиталу банка, К2 – основному капиталу банка, К0 – величине собственных средств (капитала) банка, определенных в соответствии с методикой, предусмотренной Положением «О методике определения собственных средств (капитала) финансовых организаций («Базель III»)», соответственно на покрытие прямых потерь (для и ), совокупных (прямых и косвенных) потерь для () от реализации операционного риска, за вычетом потерь от реализации событий риска информационной безопасности, которые определяются финансовой организацией (головной финансовой организацией банковской группы) с использованием анализа возможного превышения фактической величины чистых прямых потерь над контрольным значением контрольного показателя – общей суммой чистых прямых годовых потерь от реализации событий операционного риска за вычетом чистых прямых потерь от реализации событий риска информационной безопасности, установленного в соответствии с абзацем вторым подпункта 1.1.1 пункта 1 приложения 1 к настоящему Положению.
4. В случае если финансовая организация (головная финансовая организация банковской группы) применяет регуляторный подход к оценке объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, и фактическая совокупная величина прямых годовых потерь от реализации событий операционного риска и событий риска информационной безопасности за каждый год не превышала минимальный регуляторный капитал, рассчитанный для данного года, на протяжении последних десяти лет, финансовая организация (головная финансовая организация банковской группы) приравнивает к нулю компонент объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий риска информационной безопасности и (или) событий операционного риска, в соответствии с заключением службы управления рисками об отсутствии других факторов возможных потерь (например, об отсутствии изменений внутренних и внешних факторов операционной среды финансовой организации (головной финансовой организации банковской группы) с приложением результатов сценарного анализа и стресс–тестирования.
4.1. В случае если у финансовой организации (головной финансовой организации банковской группы) отсутствуют данные о потерях от реализации событий операционного риска и событий риска информационной безопасности за десять лет, финансовая организация (головная финансовая организация банковской группы) использует в целях расчета объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, накопленные данные за имеющейся период, но не менее чем за три года (с последующим учетом накопленных данных о потерях до достижения периода десяти лет), для сравнения с минимальным регуляторным капиталом за каждый год в течение периода десяти лет.
При этом финансовая организация (головная финансовая организация банковской группы) ежегодно при формировании объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, готовит заключение о достаточности имеющихся накопленных данных о потерях от реализации событий операционного риска и (или) событий риска информационной безопасности для установления нулевых значений компонентов объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска и (или) событий риска информационной безопасности.
4.2. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) рассматривает заключение об отсутствии других факторов возможных потерь от реализации операционных рисков и утверждает его в рамках внутренних процедур планирования объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска.
4.3. В случае если у финансовой организации (головной финансовой организации банковской группы) отсутствуют данные о потерях от реализации событий операционного риска и (или) событий риска информационной безопасности за три года или накопленные данные не соответствуют требованиям главы 6 настоящего Положения, за исключением абзаца тридцать первого и сорок четвертого пункта 6.6 настоящего Положения, финансовая организация (головная финансовая организация банковской группы) не устанавливает нулевые значения компонентов и и при определении объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, должна определять значение данных компонентов с учетом результатов качественной оценки уровня операционного риска, проведенной в соответствии с планом проведения качественной оценки, за последний календарный год.
4.4. Подразделение, ответственное за организацию управления операционным риском, подготавливает заключение об отсутствии других факторов возможных потерь от реализации операционного риска и направляет его на рассмотрение в службу управления рисками.
5. Финансовая организация (головная финансовая организация банковской группы), выбравшая в соответствии с пунктом 1 настоящего приложения продвинутый подход, определяет объем капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в составе капитала Кi в соответствии с методикой количественной оценки прямых потерь (для объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в составе базового и основного капиталов) и совокупных потерь (для объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в составе собственных средств) от реализации событий операционного риска (методика потерь), с заданной во внутренних документах доверительной вероятностью как сумму двух компонентов:
объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий риска информационной безопасности;
объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации операционного риска, за вычетом потерь от реализации риска информационной безопасности.
При этом для оценки объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в дополнение к потерям от реализации внутренних событий операционного риска финансовая организация (головная финансовая организация банковской группы) должна использовать внешнюю информацию о потерях других финансовых организаций с применением методов сценарного анализа в соответствии с пунктом 4.4 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы».
6. В случае если фактическая величина потерь от реализации событий операционного риска и (или) событий риска информационной безопасности по итогам года превысила выделенную на этот год величину объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, данное превышение добавляется финансовой организацией (головной финансовой организацией банковской группы) в течение последующего года к оценке компонентов объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, рассчитанной по потерям из базы событий.
7. Финансовая организация (головная финансовая организация банковской группы), учитывающая потери от реализации операционного риска и (или) риска информационной безопасности в запланированных расходах финансовой организации (головной финансовой организации банковской группы) того года, в котором были отражены потери, при определении сигнального значения прямых или совокупных потерь уменьшает компоненты объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, на величину, не превышающую величину запланированных расходов от реализации операционного риска и (или) риска информационной безопасности.
8. Финансовая организация (головная финансовая организация банковской группы), применяющая механизмы и процедуры управления отдельными видами операционного риска, в составе объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, выделяет дополнительные компоненты объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации этих видов операционного риска.
.
Приложение 3 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».
.
РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ ВОЗМОЖНЫХ МЕР, НАПРАВЛЕННЫХ НА УМЕНЬШЕНИЕ НЕГАТИВНОГО ВЛИЯНИЯ ОПЕРАЦИОННОГО РИСКА.
.
Финансовая организация (головная финансовая организация банковской группы) использует следующий рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска, но не ограничивается им.
1. Регламентация, в том числе актуализация, процессов проведения операций (сделок) с соблюдением действующего законодательства.
2. Применение стандартизированных форм внутренних документов финансовой организации.
3. Стандартизация операций (сделок).
4. Применение стандартизированных форм договоров с клиентами (контрагентами).
5. Контроль (автоматизированный, ручной) за соблюдением внутренних документов финансовой организации.
6. Подбор и аттестация персонала.
7. Разработка системы мотивации персонала.
8. Проведение тренингов и обучение персонала проведению сделок (операций).
9. Процедура коллегиального принятия решений, например, по проведению крупных сделок (нестандартных сделок).
10. Особый контроль за проведением крупных сделок (нестандартных сделок).
11. Контроль сделок (операций).
12. Формирование отчетов по сделкам (операциям).
13. Тестирование процессов, информационных и технологических систем финансовой организации.
14. Автоматизация процессов (операций), алгоритмизация сделок (операций).
15. Проверка документов, в том числе первичных, по проводимым сделкам (операциям).
16. Разграничение функций, ответственности и полномочий персонала при проведении сделок (операций).
17. Использование двойного контроля при проведении сделок (операций).
18. Установление и контроль соблюдения лимитов при проведении сделок (операций).
19. Установление и разделение прав доступа к информации и информационным системам.
20. Резервирование информации в информационных системах.
21. Установление и разделение прав доступа к использованию материальных и нематериальных активов.
22. Организация физической безопасности объектов и материальных активов финансовой организации.
23. Противодействие неправомерному использованию инсайдерской информации.
24. Контроль качества данных в процессах, информационных системах.
25. Процедуры ограничения на ввод данных в информационных системах.
26. Автоматический контроль вводимых данных в информационных системах.
27. Контроль сроков и рассылка уведомлений участникам процессов.
28. Автоматический контроль маршрута согласований сделок (операций).
29. Мероприятия по повышению культуры управления рисками.
30. Система ключевых показателей деятельности, стимулирующая персонал эффективно управлять рисками.
31. Другие меры, направленные на уменьшение негативного влияния операционного риска.
.
Приложение 4 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».
.
ДЕТАЛИЗИРОВАННАЯ КЛАССИФИКАЦИЯ ТИПОВ СОБЫТИЙ ОПЕРАЦИОННОГО РИСКА.
.
Финансовая организация (головная финансовая организация банковской группы) в разрезе основной классификации типов событий операционного риска дополнительно классифицирует события операционного риска по следующим типам событий операционного риска:
1. Тип события операционного риска «преднамеренные действия персонала» включает:
1.1. неразрешенную деятельность, состоящую в преднамеренных действиях персонала, связанную с превышением работниками своих полномочий при проведении или одобрении сделки (осуществлении операций), закрепленных должностными инструкциями, внутренними документами или решениями единоличного, или коллегиального исполнительного органа финансовой организации, без цели присвоения, уничтожения, хищения имущества, материальных и (или) нематериальных активов, но в целях получения нематериальной выгоды;
1.2. преднамеренные действия персонала в отношении имущества, материальных и (или) нематериальных активов финансовой организации и средств клиентов с целью их присвоения, уничтожения, хищения в целях получения материальной выгоды, в том числе с использованием коммерческого подкупа (коррупции).
2. Тип события операционного риска «преднамеренные действия третьих лиц» включает:
2.1. преднамеренные действия третьих лиц в отношении имущества, материальных и (или) нематериальных активов финансовой организации и средств клиентов. К данному типу событий операционного риска не относятся события киберриска;
2.2. нарушение безопасности информационных систем, состоящее в преднамеренных действиях третьих лиц в отношении имущества, информации, данных, материальных и (или) нематериальных активов финансовой организации и средств клиентов. К данному типу событий операционного риска относятся все виды кибератак, совершенных третьими лицами с применением объектов информационной инфраструктуры по отношению к информации и данным, содержащимся во внутренних информационных системах финансовой организации (реализация событий киберриска).
3. Тип события операционного риска «нарушение кадровой политики и безопасности труда» включает:
3.1. нарушение трудового законодательства, результатом которого стало наложение на финансовую организацию санкций за нарушение норм трудового законодательства (выплаты работникам или бывшим работникам в виде компенсаций за нарушение условий трудового договора и (или) в связи с санкциями, наложенными исполнительным государственным органом, уполномоченным на осуществление федерального государственного надзора за соблюдением трудового законодательства);
3.2. нарушение норм безопасности и охраны труда, в том числе действия (бездействие) должностных лиц, результатом которых стали выплаты компенсаций работникам или бывшим работникам финансовой организации за причинение ущерба здоровью и (или) административных штрафов исполнительным государственным органам;
3.3. нарушения гражданских прав работников финансовой организации и третьих лиц, связанные с дискриминацией (половая, расовая, национальная дискриминация, а также дискриминация по языку, происхождению, имущественному и должностному положению, месту жительства, отношению к убеждениям, принадлежности к общественным объединениям и возрастному признаку).
4. Тип события операционного риска «нарушение гражданских прав клиентов и контрагентов» включает:
4.1. нарушение гражданских прав клиентов, состоящее в действиях со стороны финансовой организации, которые привели к несанкционированному раскрытию конфиденциальной информации, нарушению функционирования системы информационного обмена и взаимодействия с клиентом, повлекших выплаты клиентам в связи с нарушением их интересов;
4.2. нарушение обычаев делового оборота и рыночных практик, состоящее в нарушении финансовой организацией законодательства и других государств, которые попадают под совершаемые операции, условий договоров на совершение операций, предоставление услуг, внутренних процедур финансовой организации взаимодействия с клиентами и контрагентами;
4.3. недостатки оказания услуг и проведения операций, состоящие в нарушении финансовой организацией интересов и гражданских прав клиентов вследствие установленных в финансовой организации правил и стандартов оказания услуг и проведения операций, рекламы финансовой организации, навязывания финансовой организацией сопутствующих услуг. К данному типу событий операционного риска не относятся события, связанные с несовершенством и недостатками внутренних процессов;
4.4. нарушение требований законодательства в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия;
4.5. недостатки в работе с контрагентами, связанные с негативными событиями у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), произошедшими по вине финансовой организации, результатом которых стали претензии контрагентов и выплата им компенсаций.
5. Тип события операционного риска «ущерб материальным активам», включает события, связанные с природными и прочими внешними факторами, повлекшими досрочное списание (полное или частичное выбытие) материальных активов финансовой организации:
6. Тип события операционного риска «нарушение и сбои систем и оборудования» включает:
6.1. сбои в работе информационных систем и программного обеспечения, связанные с нарушением работоспособности технических средств и оборудования, объектов информационной инфраструктуры, программного обеспечения и других элементов информационных систем финансовой организации;
6.2. инфраструктурные сбои, состоящие в нарушении работы инфраструктуры (сбой систем кондиционирования, водоснабжения, электроснабжения), за исключением сбоев информационных систем и объектов информационной инфраструктуры, оказавших влияние на деятельность финансовой организации.
7. Тип события операционного риска «нарушение организации, исполнения и управления процессами финансовой организации» включает:
7.1. ошибки при подготовке, проведении и сопровождении операций, состоящие в нарушении внутренних процессов, стандартов, правил финансовой организации (например, к данному типу событий операционного риска относятся события операционного риска непреднамеренного характера, связанные с нарушением внутренних процедур проведения операций работниками финансовой организации (не связанные с преднамеренными действиями персонала), события операционного риска, связанные с несовершенством и недостатками внутренних процессов, системы внутреннего контроля, систем управления рисками, недостатками распределения функций и полномочий, ошибками корпоративного управления);
7.2. ошибки во внутренних процессах бухгалтерского и аналитического учета и отчетности, состоящие в нарушении правил и сроков соблюдения бухгалтерского учета и предоставления отчетности;
7.3. ошибки при подготовке договоров и осуществлении документационного обмена, состоящие в ошибках при работе с клиентской документацией, документообороте, информационном обмене финансовой организации с клиентами;
7.4. ошибки расчетно–кассового обслуживания и управления счетами клиентов, состоящие в нарушении порядка работы со счетами клиентов, в том числе работы со средствами клиентов, находящимися в доверительном управлении;
7.5. недостатки работы с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы). К данному типу событий операционного риска относятся события операционного риска, связанные с потерями финансовой организации, возникшими в результате работы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), появлением зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
7.6. ошибки финансовой организации, связанные с несоответствием внутренних документов финансовой организации законодательству, нормативным актам исполнительных государственных органов, Государственного банка;
7.7. нарушения правил внутреннего контроля и процедур, установленных в финансовой организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию насилия и финансированию распространения оружия массового уничтожения.
.
Приложение 5 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».
.
ПОДХОДЫ К ДОПОЛНИТЕЛЬНОЙ КЛАССИФИКАЦИИ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
.
1. Финансовая организация (головная финансовая организация банковской группы) дополнительно классифицирует события риска информационной безопасности в разрезе типов событий нарушения защиты информации:
1.1. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств:
1.2. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств:
1.3. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг:
1.4. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств:
1.5. События риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры и приводящие к утечке, искажению или потере информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации финансовой организации, не подлежащей разглашению или опубликованию, другим нарушениям.
2. Финансовая организация дополнительно классифицирует события риска информационной безопасности по источникам риска информационной безопасности в разрезе категорий источников операционного риска, приведенных в пункте 3.3 настоящего Положения.
2.1. По категории источников операционного риска «недостатки процессов»:
2.2. По категории источников операционного риска «действия персонала и других связанных с финансовой организацией лиц» дополнительно выделяется реализация несанкционированного доступа внутреннего нарушителя (действия внутреннего нарушителя).
2.3. По категории источников операционного риска «сбои систем и оборудования» дополнительно выделяются сбои и отказы в работе прикладного программного обеспечения и приложений, а также объектов информационной инфраструктуры в результате реализации угроз безопасности информации.
2.4. По категории источников операционного риска «внешние причины» дополнительно выделяется реализация компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры финансовой организации (действия внешнего нарушителя), в том числе с целью:
2.5. Более детализированные уровни классификации источников событий риска информационной безопасности определяются по видам процессов обеспечения мероприятий информационной безопасности в соответствии с подпунктом 2.1 настоящего пункта в зависимости от процессов финансовой организации, в которых они произошли.
2.6. В рамках дополнительной детализации классификации источников событий риска информационной безопасности финансовые организации подразделяют источники риска реализации угроз безопасности информации (информационных угроз) в разрезе направлений компьютерных атак, типов компьютерных атак и типов атакуемых объектов:
2.6.1. по направлениям компьютерных атак:
2.6.2. по типам компьютерных атак:
2.6.3. по типам атакуемых объектов:
2.6.3.1. на системном уровне информационной инфраструктуры:
2.6.3.2. на уровне автоматизированных систем и приложений, используемых для выполнения банковских и (или) технологических процессов финансовой организации при оказании банковских услуг:
2.6.3.3. на уровне автоматизированных систем и приложений, используемых клиентом финансовой организации при получении банковских услуг:
2.6.3.4. другой тип системы.
2.7. В случае если в процессе анализа риска информационной безопасности финансовой организацией (головной финансовой организацией банковской группы) выявляются другие дополнительные источники события риска информационной безопасности, финансовая организация (головная финансовая организация банковской группы) определяет эти источники в базе событий.
3. В рамках дополнительной детализации классификации событий риска информационной безопасности в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, финансовая организация (головная финансовая организация банковской группы) осуществляет следующую детализацию классификации:
3.1. По способам формирования и передачи распоряжений на осуществление транзакций, позволяющим совершить банковскую операцию при:
3.2. По технологическим участкам, определенным в пункте 5.2 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
4. Финансовая организация (головная финансовая организация банковской группы) использует следующие дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 настоящего Положения.
4.1. По категории «прямые потери» события риска информационной безопасности дополнительно классифицируются финансовой организацией (головной финансовой организацией банковской группы) следующие виды потерь:
4.2. По категории «косвенные потери» финансовой организацией (головной финансовой организацией банковской группы) устанавливаются следующие виды потерь:
4.3. По категории «качественные потери» финансовой организацией (головной финансовой организацией банковской группы) устанавливаются следующие виды потерь:
.
Приложение 6 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе»
.
«БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ. «ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ. БАЗОВЫЙ СОСТАВ ОРГАНИЗАЦИОННЫХ ТЕХНИЧЕСКИХ МЕР».
.
Раздел 1. Процесс 1 – «Обеспечение защиты информации при управлении доступом».
1.2. Подпроцесс «Управление учетными записями и правами субъектов логического доступа».
1.2.1. Применяемые финансовой организацией меры по управлению учетными записями и правами субъектов логического доступа должны обеспечивать: