На основании статьи 57.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2013, N 27, ст. 3438; 2019, N 49, ст. 6953) и статьи 11.1-2 Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 2013, N 27, ст. 3438; 2019, N 49, ст. 6953):

1. Внести в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", зарегистрированное Министерством юстиции Российской Федерации 3 июня 2020 года N 58577, следующие изменения.

1.1. Пункт 1.4 дополнить новым абзацем следующего содержания:

"риск потерь, связанный с ошибками и недостатками организации и осуществления деятельности кредитной организации по передаче своих функций, операций, услуг (или их части) на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам), ненадлежащего исполнения ими переданных им функций, операций, услуг (или их части) на аутсорсинг."

1.2. В пункте 2.1.

1.2.1. Абзац третий подпункта 2.1.1 после слова "абзацев" дополнить словом "шестого,".

1.2.2. Абзац второй подпункта 2.1.4 после слов "в соответствии с пунктом 1.4 настоящего Положения" дополнить словами ", в случае если кредитная организация (головная кредитная организация банковской группы) использует методы количественной оценки потерь от реализации операционного риска на основе статистики базы событий, применяемые в международной практике, не установленные нормативными актами Банка России (далее - продвинутый подход);".

1.2.3. Абзац четвертый подпункта 2.1.4 изложить в следующей редакции:

"оценку ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с использованием статистики событий операционного риска, зарегистрированных в базе событий (при наличии), в целях определения источников их покрытия, например, их учета в ценообразовании услуг и тарифов. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска".

1.2.4. Абзац второй подпункта 2.1.5 после слова "абзацами" дополнить словом "шестым,".

1.2.5. Абзац шестой подпункта 2.1.5 после слов "(далее - план проведения качественной оценки)" дополнить словами "с учетом операционного риска, выявленного по результатам предыдущих качественных оценок уровня операционного риска и анализа базы событий, проведенного в соответствии с абзацем вторым подпункта 2.1.1 пункта 2.1 настоящего Положения.".

1.2.6. Абзац восьмой подпункта 2.1.5 изложить в следующей редакции:

"Самооценка операционного риска проводится подразделениями кредитной организации (головной кредитной организации банковской группы) в отношении выполняемых ими процессов не реже одного раза в год по установленной во внутренних документах методике (в виде анкетирования выделенных для данной процедуры работников подразделений кредитной организации (головной кредитной организации банковской группы) по всем направлениям деятельности, в том числе в разрезе составляющих их процессов в соответствии с планом проведения качественной оценки, с использованием формализованных анкет).".

1.2.7. Абзац одиннадцатый подпункта 2.1.5 изложить в следующей редакции:

"критерии оценки уровня существенности операционного риска (с соотнесением к четырехуровневой шкале: "очень высокий", "высокий", "средний", "низкий"), включая критерии оценки существенности потерь и качественной оценки вероятности реализации операционного риска в условиях текущего процесса;".

1.2.8. Абзац семнадцатый подпункта 2.1.5 изложить в следующей редакции:

"Кредитная организация (головная кредитная организация банковской группы) определяет в порядке проведения сценарного анализа операционных рисков критерии проведения сценарного анализа операционных рисков в отношении выявленных операционных рисков в ходе качественной оценки уровня операционного риска, проводимой в соответствии с планом проведения качественной оценки, и источников операционного риска, которые не реализовались в кредитной организации (головной кредитной организации банковской группы), по которым уровень существенности операционного риска оценивается в соответствии с абзацем одиннадцатым настоящего подпункта как "высокий" или "очень высокий".".

1.2.8. В абзаце пятом подпункта 2.1.6 пункта 2.1 слово "совокупных" исключить.

1.3. Пункт 3.10 дополнить предложением следующего содержания: "В случае если кредитной организацией (головной кредитной организацией банковской группы) определено более одного направления деятельности, в отношении реализовавшегося события операционного риска в базе событий кредитная организация (головная кредитная организация банковской группы) указывает все выявленные направления деятельности и определяет наиболее значимое направление деятельности."

1.4. Подпункт 3.12.3 пункта 3.12 слова изложить в следующей редакции:

3.1.1. "Денежные выплаты клиентам, контрагентам, работникам и третьим лицам в целях компенсации им во внесудебном порядке убытков, понесенных ими в результате действий третьих лиц, в том числе компенсированные кредитной организацией хищения средств клиентов, контрагентов, работников и третьих лиц (с раздельным учетом потерь, которые были компенсированы кредитной организацией, и потерь, которые были компенсированы третьими лицами (например, страховыми организациями, иностранными страховыми организациями).

Кредитная организация (головная кредитная организация) классифицирует данный вид прямых потерь в разрезе следующих видов клиентов, контрагентов, работников и третьих лиц: физических лиц, индивидуальных предпринимателей, юридических лиц и контрагентов."

1.5. В подпункте 3.12.8 слово "или" заменить словами "и (или)".

1.6. Пункт 3.13 изложить в следующей редакции:

"3.13. Непрямые потери кредитной организации (головной кредитной организации банковской группы с учетом влияния событий операционного риска участников банковской группы), косвенно связанные с событиями операционного риска и не отраженные в бухгалтерском учете как прямые потери, классифицируются кредитной организацией (головной кредитной организации банковской группы) на потери, определяемые расчетным методом в денежном выражении (далее - косвенные потери), потери, определяемые с использованием экспертного мнения (далее - качественные потери) в случае, если потери не выражены в денежном выражении расчетным способом, а также потери кредитной организации, не реализовавшиеся в виде прямых и косвенных потерь, которые могли бы возникнуть при реализации не выявленных кредитной организацией источников операционного риска и (или) при неблагоприятном стечении обстоятельств (например, нарушение работником кредитной организации лимита, которое при данном стечении обстоятельств не привело к прямым потерям в результате реализации события операционного риска) (далее - потенциальные потери)."

1.7. Абзац седьмой подпункта 3.13.1 пункта 3.13 после слов "подпунктами 3.12.8 и 3.12.10 пункта 3.12 настоящего Положения" дополнить словами ", которые не являются прямым следствием реализации события операционного риска.".

1.8. Подпункт 3.13.3 пункта 3.13 дополнить абзацем следующего содержания:

"Кредитная организация (головная кредитная организация) классифицирует данный вид потерь в разрезе следующих видов клиентов и контрагентов: физических лиц, индивидуальных предпринимателей, юридических лиц и контрагентов.".

1.9. В абзаце втором подпункта 4.1.1 пункта 4.1 слово ", обеспечивающие" исключить.

1.10. Абзац четвертый подпункта 4.1.1 пункта 4.1 изложить в следующей редакции:

"Основные процессы обеспечивают выполнение операций, предусмотренных статьей 5 Федерального закона "О банках и банковской деятельности", не отнесенных кредитной организацией (головной кредитной организацией банковской группы) к критически важным процессам, и других операций и услуг, объем которых формирует объем расходов (доходов) кредитной организации (головной кредитной организации банковской группы), применяющей для целей расчета размера операционного риска Положение Банка России от 3 сентября 2018 года N 652-П "О порядке расчета размера операционного риска", зарегистрированного Министерством юстиции Российской Федерации 19 ноября 2018 года N 52705, 19 декабря 2018 года N 53050 (далее - Положение Банка России N 652-П), более 5 процентов от дохода за год для целей расчета капитала на покрытие операционного риска, определяемого в соответствии с пунктом 3 Положения Банка России N 652-П (далее - доход за год для целей расчета капитала на покрытие операционного риска), или объем расходов (доходов) кредитной организации (головной кредитной организации банковской группы), применяющей для целей расчета размера операционного риска применяющей для целей расчета размера операционного риска Положение Банка России от 07.12.2020 N 744-П "О порядке расчета размера операционного риска ("Базель III") и осуществления Банком России надзора за его соблюдением", зарегистрированного Министерством юстиции Российской Федерации 29.01.2021 N 62290 (далее - Положение Банка России N 744-П), более 5 процентов от величины бизнес-индикатора, определяемого в соответствии с пунктом 2.2 Положения Банка России N 744-П. Кредитная организация (головная кредитная организация банковской группы) проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра перечня основных процессов при осуществлении действий, предусмотренных пунктом 4.6 настоящего Положения.".

1.11. Абзацы тринадцатый и четырнадцатый подпункта 4.2.4 пункта 4.2 после слов "возмещений по" дополнить словом "прямым".

1.12. В абзаце пятнадцатом подпункта 4.2.4 пункта 4.2 слово "(фактических)" исключить.

1.13. Абзац второй пункта 5.2 изложить в следующей редакции:

"утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска на плановый годовой период в целом по кредитной организации (головной кредитной организации банковской группы), которые ежегодно подлежат пересмотру и актуализации кредитной организацией (головной кредитной организацией банковской группы) в рамках оценки соответствия процедур управления рисками текущей ситуации в кредитной организации, проводимой в соответствии с абзацем первым пункта 3.5 Указания Банка России N 3624-У, в том числе по результатам оценки эффективности функционирования системы управления операционным риском в соответствии с пунктом 4.4 настоящего Положения;"

1.14. Абзац первый пункта 5.3 после слов "кредитной организации (головной кредитной организацией банковской группы) порядком" дополнить словами "как в целом по кредитной организации (головной кредитной организации банковской группы), так и в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса.".

1.15. В пункте 6.6:

1.15.1. Абзац двадцать первый изложить в следующей редакции:

"направления деятельности в соответствии с пунктом 3.9 настоящего Положения, с указанием основного (наиболее значимого) направления деятельности;".

1.15.2. Абзац двадцать пятый после слова "риска" дополнить слова ", в случае если кредитная организация (головная кредитная организация банковской группы) в соответствии с внутренними документами разрабатывает их при реализации данного события операционного риска.".

1.15.3. Абзац двадцать восьмой после слова "валовых" дополнить словом "прямых".

1.15.4. Абзац тридцать четвертый изложить в следующей редакции:

"агрегированную сумму валовых прямых и косвенных потерь в рублях накопленным итогом с даты регистрации первой потери;".

1.15.5. Абзац тридцать пятый изложить в следующей редакции:

"агрегированную сумму валовых прямых потерь в рублях накопленным итогом с даты регистрации первой потери;".

1.15.6. Абзац тридцать шестой изложить в следующей редакции:

"агрегированную сумму валовых косвенных потерь в рублях накопленным итогом с даты регистрации первой потери;".

1.15.7. Абзац сорок пятый после слов "страховой организации" дополнить словами ", иностранной страховой организации".

1.15.8. В абзаце сорок шестом слово "(фактических)" исключить.

1.15.6. Абзац сорок восьмой пункта 6.6 изложить в следующей редакции:

"В случае если сумма возмещений, например, рассчитанная по курсу иностранной валюты, установленному Банком России, превышает сумму потерь в рублях, в базе событий должна быть отражена сумма возмещений, не превышающая сумму потерь в рублях, а также дополнительно полная сумма полученного возмещения в рублях.".

1.16. Пункт 6.7 изложить в следующей редакции:

"6.7. Кредитная организация (головная кредитная организация банковской группы) ежемесячно на отчетную дату определяет величину валовых прямых потерь от реализации событий операционного риска со статусом "оценка потерь от реализации события операционного риска не завершена" начиная от даты регистрации события операционного риска в базе событий и от начала календарного года (в случае, если событие операционного риска реализовалось ранее текущего календарного года) нарастающим итогом. Также в расчет валовых прямых потерь кредитной организацией (головной кредитной организацией банковской группы) включаются прямые потери от реализации событий операционного риска, статус которых был переведен в статус "оценка потерь от реализации события операционного риска завершена", в течение отчетного месяца.

Головная кредитная организация банковской группы для целей расчета величины валовых прямых потерь по банковской группе осуществляет перерасчет величины валовых прямых потерь и последующих возмещений от событий операционного риска, произошедших у иностранных дочерних кредитных организаций, ведущих учет событий операционного риска в иностранной валюте, в рубли по курсу иностранной валюты, установленному Банком России, на отчетную дату, с последующим ежемесячным перерасчетом на отчетную дату.".

1.17. Абзацы первый и пятый подпункта 6.7.1 пункта 6.7 после слов "величины валовых" дополнить словами "прямых".

1.18. Подпункт 6.7.2 пункта 6.7 после слов "порядок идентификации" дополнить словами "прямых".

1.19. В пункте 6.7.3 пункта 6.7:

1.19.1. Абзац первый подпункта 6.7.3 пункта 6.7 после слов "в валовые" дополнить словом "прямые".

1.19.2. Абзац пятый подпункта 6.7.3 пункта 6.7 признать утратившим силу.

1.20. Абзац четвертый пункта 6.15 после слов "страховых организаций" дополнить словами ", иностранных страховых организаций;".

1.21. Абзацы первый и второй пункта 6.17 изложить в следующей редакции:

"Кредитная организация (головная кредитная организация банковской группы) должна учитывать в базе событий отдельно валовые потери и чистые потери, определяемые в соответствии с пунктом 6.18 настоящего Положения. Возмещение используется кредитной организацией (головной кредитной организацией банковской группы) для уменьшения потерь только после того, как платеж получен кредитной организацией (головной кредитной организацией банковской группы) и отражен на счетах бухгалтерского учета. Дебиторская задолженность не является возмещением. Кредитная организация (головная кредитная организация банковской группы) в целях расчета суммы чистых потерь по событию операционного риска учитывает сумму возмещений, не превышающую сумму потерь в рублях.

В случае поступления возмещения от третьего лица в базе событий кредитная организация (головная кредитная организация банковской группы) указывает наименование третьего лица и его характеристики (например, страховая организация, иностранная страховая организаций, контрагент, признак связи с кредитной организацией или банковской группой).".

1.22. Абзац восьмой пункта 6.17 признать утратившим силу.

1.23. В пункте 6.18 слово "(фактические)" исключить.

1.24. Абзац первый пункта 7.3 после слов "вследствие которых возникли прямые и" дополнить словом "(или)".

1.25. Пункт 7.6 дополнить предложением следующего содержания: "В случае выявления событий риска информационной безопасности, связанных с несанкционированным распространением информации клиентов - физических лиц, содержащих сведения, составляющие банковскую тайну, кредитная организация (головная кредитная организация банковской группы) обеспечивает учет в базе событий риска информационной безопасности, информации о количестве клиентов - физических лиц, в отношении которых подтвердилось данное событие риска информационной безопасности.".

1.26. Пункт 7.7 изложить в следующей редакции:

"Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе:

политику информационной безопасности;

выявление и идентификацию риска информационной безопасности, а также его оценку;

участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы) в решении вопросов управления риском информационной безопасности;

распределение функций и ответственности коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы), в том числе исключающее конфликт интересов в рамках организационной структуры обеспечения информационной безопасности, а также предполагающее определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы), и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем;

выявление событий риска информационной безопасности, включая обнаружение компьютерных атак, рассмотрение обращений клиентов, контрагентов, работников и третьих лиц, связанных с нарушением информационной безопасности, выявление и регистрацию инцидентов защиты информации, выявление фактов компрометации объектов информационной инфраструктуры;

обеспечение осведомленности об актуальных угрозах безопасности информации, обмен информацией о событиях риска информационной безопасности, в том числе об инцидентах защиты информации, и предоставление данных в Банк России в соответствии с требованиями пункта 8 Положения Банка России N 683-П;

организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников кредитной организации (головной кредитной организации банковской группы), в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности;

повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы) в области противодействия угрозам безопасности информации;

установление и реализацию программ контроля, в том числе программ аудита, включая независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями пункта 9 Положения Банка России N 683-П;

мониторинг риска информационной безопасности;

соответствие фактических значений контрольных показателей уровня риска информационной безопасности принятым в кредитной организации (головной кредитной организации банковской группы) значениям;

планирование, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе в соответствии с реализуемыми уровнями защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями подпункта 3.1 пункта 3 Положения Банка России N 683-П, включая:

разработку комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;

защиту от угроз безопасности информации, включая обеспечение защиты информации, управление риском информационной безопасности при передаче внешним контрагентам выполнения отдельных функций кредитной организации (головной кредитной организации банковской группы) и (или) использовании внешних информационных систем в рамках реализации направлений деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы), управление риском внутреннего нарушителя, предотвращение не контролируемого кредитной организацией распространения сведений, составляющих банковскую тайну, а также операционную надежность, в том числе на этапах жизненного цикла информационных систем кредитной организации (головной кредитной организации банковской группы), в части управления изменениями, конфигурациями (настраиваемыми параметрами) и уязвимостями объектов информационной инфраструктуры;

порядок реагирования на выявленные события риска информационной безопасности, в том числе инциденты защиты информации, и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации таких событий, включая порядок взаимодействия кредитной организации (головной кредитной организации банковской группы) с клиентами и третьими лицами, в том числе в случае получения уведомлений об осуществлении переводов денежных средств без согласия клиентов;

выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с пунктом 5 Положения Банка России N 683-П;

процессы применения прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям пункта 4 Положения Банка России N 683-П;

ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с подпунктом 3.2 пункта 3 Положения Банка России N 683-П.".

1.27. Пункт 7.8 после третьего абзаца дополнить абзацем следующего содержания:

"цели управления риском информационной безопасности;".

1.28. В подпункте 7.9.2 пункта 7.9:

абзац пятый признать утратившим силу;

в абзаце шестом слова ", а при его отсутствии - коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы)" исключить.

1.29. Абзац второй пункта 7.10 признать утратившим силу.

1.30. Абзац третий пункта 8.3 после слов "функционирования информационных систем" дополнить словами "(с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы)) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности".

1.31. В абзаце третьем подпункта 9.2.1 пункта 9.2:

после слов "требованиями абзацев первого - третьего" дополнить словами ", четвертого (в части анализа динамики КИР по критически важным процессам)";

слова "абзацев первого - третьего, пятого" заменить словами "абзацев первого, третьего, пятого";

слова "(в случае, если банк с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей, использует методы оценки величины риска и общей потребности в капитале, отличные от установленных Банком России в соответствии с пунктом 5.1 Указания Банка России N 3624-У)" исключить.

1.32. В абзаце третьем подпункта 9.3.1 пункта 9.3 слова "абзацев первого - третьего" заменить словами "абзацев первого, третьего и четвертого".

1.33. В подпункте 1.1.1 пункта 1.1 приложения 1.

1.33.1. В абзаце втором:

слово "валовых" заменить на "чистых";

после слов "за вычетом" дополнить словами "чистых прямых".

1.33.2. Абзац третий после слов "за вычетом" дополнить словами "валовых прямых".

1.33.3. Абзац четвертый изложить в следующей редакции:

"отношение общей суммы чистых прямых потерь (включая чистые прямые потери от реализации событий риска информационной безопасности), понесенных кредитной организацией за год, к показателю объема операционного риска либо в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения Банка России N 652-П на последнюю отчетную дату для кредитных организаций, применяющих для расчета размера операционного риска Положение Банка России N 652-П, либо в виде показателя КБИ, рассчитанного в соответствии с пунктом 1.2 Положения Банка России N 744-П, на последнюю расчетную дату для кредитных организаций, применяющих для расчета размера операционного риска Положение Банка России N 744-П (далее - показатель объема операционного риска);".

1.33.4. Абзац пятый после слов "за вычетом" дополнить словами "валовых прямых".

1.33.5. В абзаце шестом:

слово "(фактических)" исключить;

после слов "за вычетом" дополнить словами "чистых прямых".

1.33.6. В абзаце седьмом слова "(за исключением потерь от реализации событий кредитного риска, связанных с реализацией операционного риска)", "(за исключением потерь от реализации кредитного риска)" исключить.

1.33.7. В абзаце восьмом слова "(за исключением потерь от реализации событий кредитного риска, связанных с реализацией операционного риска)" исключить.

1.33.8. Абзац девятом после слов "за вычетом" дополнить словами "валовых прямых и косвенных".

1.33.9. В абзаце десятом:

слово "(фактических)" исключить;

после слова "за вычетом" дополнить словами "суммы чистых прямых и косвенных".

1.34. В подпункте 1.2.1 пункта 1.2 приложения 1.

1.34.1. В абзаце втором слово "валовых" заменить на слово "чистых".

1.34.2. В абзаце четвертом слово "(фактических)" исключить.

1.35.3. В абзаце седьмом слова "сумме переводов за этот же период (контрольное значение должно быть не более 0,05 процентов, сигнальное значение - не более 0,005 процента)" заменить словами "сумме переводов денежных средств за этот же период (контрольное значение должно быть не более 0,005 процентов, сигнальное значение - не более 0,002 процента)".

1.35.4. Абзац восьмой после слов "событий риска информационной безопасности с ненулевой величиной валовых прямых потерь" дополнить словами ", которые кредитная организация не отразила в базе событий,".

1.35.5. В абзаце десятом слова "методов, применяемых в международной практике (далее - продвинутый подход)" заменить словами "продвинутых подходов".

1.36. Подпункт 1.2.1 приложения 1 дополнить новыми абзацами следующего содержания:

"отношение количества операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, размещенным на официальном сайте Банка России в сети "Интернет" (далее - операции, соответствующие признакам осуществления перевода денежных средств без согласия клиента - физического лица), в отношении которых кредитной организацией выполнено приостановление исполнения распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона N 161-ФЗ (далее - приостановление исполнения распоряжений о совершении операций), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общему количеству операций по переводу денежных средств за этот же период;

отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитной организацией выполнено приостановление исполнения распоряжений о совершении операций, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме денежных средств по операциям по переводу денежных средств за этот же период;

отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитной организацией выполнено приостановление исполнения распоряжений о совершении операций и по которым получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитной организацией выполнено приостановление исполнения распоряжений о совершении операций, за этот же период;

отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитной организацией выполнено приостановление исполнения распоряжений о совершении операций и по которым получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитной организацией выполнено приостановление исполнения распоряжений о совершении операций, за этот же период;

отношение количества операций по переводу денежных средств, в отношении которых кредитной организацией не выполнено приостановление исполнения распоряжений о совершении операций и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций по переводу денежных средств без согласия клиента - физического лица за этот же период;

отношение суммы денежных средств по операциям по переводу денежных средств, в отношении которых не выполнено приостановление исполнения распоряжений о совершении операций и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица за этот же период;

отношение суммы денежных средств, возмещенной (возвращенной) клиентам, по которой получены уведомления от клиентов об использовании электронного средства платежа без их согласия в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств, в отношении которой получены такие уведомления, за этот же период;

оценка соответствия уровня защиты информации в отношении процесса "Обеспечение защиты информации при управлении доступом", определенного национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017), согласно методике оценки соответствия защиты информации, определенной национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28.03.2018 N 156-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2018) (далее - ГОСТ Р 57580.2-2018) (контрольное значение должно быть не менее 0,85, сигнальное значение - не менее 0,9);

Оценка соответствия уровня защиты информации в отношении процесса "Предотвращение утечек информации", определенного ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018 (контрольное значение должно быть не менее 0,85, сигнальное значение - не менее 0,9).".

1.37. В подпункте 1.2.2 приложения 1 абзацы третий и четвертый признать утратившими силу.

1.38. Абзац второй пункта 1 приложения 2 изложить в следующей редакции:

"регуляторный подход на базе расчета размера операционного риска либо в соответствии с пунктом 2 Положения Банка России N 652-П, либо в соответствии с пунктом 1.2 Положения Банка России N 744-П, и прогнозных сценариев среднегодовых потерь от реализации событий операционного риска, изложенный в пункте 4 настоящего приложения (далее - регуляторный подход);".

1.39. Абзац восьмой пункта 3 приложения 2 изложить в следующей редакции:

"ОР - целевое (прогнозное) значение на планируемый период размера операционного риска, определяемого либо в соответствии с пунктом 2 Положения Банка России N 652-П, либо в соответствии с пунктом 1.2 Положения Банка России N 744-П;".

1.40. В абзаце десятом пункта 3 приложения 2 слова "значением контрольного показателя - лимита прямых (совокупных) годовых потерь от реализации событий риска информационной безопасности, установленного в соответствии подпунктом 1.2.1 пункта 1 приложения 1 к настоящему Положению" заменить словами "значением контрольного показателя - лимита чистых прямых (совокупных) годовых потерь от реализации событий риска информационной безопасности, установленного в соответствии с абзацем вторым подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению".

1.41. В абзаце одиннадцатом пункта 3 приложения 2 слова "значением контрольного показателя - лимита прямых (совокупных) годовых потерь от реализации событий операционного риска за вычетом лимита прямых потерь от реализации событий риска информационной безопасности, установленного в соответствии с подпунктом 1.1.1 пункта 1 приложения 1 к настоящему Положению" заменить словами "значением контрольного показателя - лимита чистых прямых (совокупных) годовых потерь от реализации событий операционного риска за вычетом лимита прямых чистых потерь от реализации событий риска информационной безопасности, установленного в соответствии с абзацем вторым подпункта 1.1.1 пункта 1 приложения 1 к настоящему Положению.".

1.42. В пункте 4.3 приложения 2 слова "сценарного анализа" заменить словами "результатов качественной оценки уровня операционного риска за последний календарный год".

2. Настоящее Указание вступает в силу с 1 апреля 2022 года.

Председатель Центрального банка Российской Федерации

Пояснительная записка
к проекту Указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"

Банк России подготовил проект указания "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - проект указания) и направляет его на публичное обсуждение с банковским сообществом.

Целью проекта указания является синхронизация отдельных требований Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" с требованиями Положения Банка России от 07.12.2020 N 744-П "О порядке расчета размера операционного риска ("Базель III") и осуществления Банком России надзора за его соблюдением".

Проект указания также содержит ряд правок технического характера и уточняющих правок.

Планируемый срок вступления в силу проекта указания - 1 апреля 2022 года.

Ответственным структурным подразделением Банка России за подготовку данного проекта положения является Департамент банковского регулирования.

Предложения и замечания по проекту положения принимаются до 1 августа 2021 года по адресу электронной почты: grigorevps@cbr.ru.