Разъяснения Банка России от 30 сентября 2021 г. N 716-Р-2021/43 “Разъяснения по ведению базы событий”

Для целей корректного учета событий операционного риска в базе событий кредитная организация в соответствии с главой 6 Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П) должна определить порядок ведения базы событий, включая требования к форме и содержанию вводимой информации. В целях обеспечения целостности и сохранности информации, зарегистрированной в базе событий, кредитная организация должна определить во внутренних документах порядок выбранного способа ведения базы событий (например, централизованный, децентрализованный, смешанный), а также систему доступов работников кредитной организации к базе событий с учетом требований защиты данных от несанкционированного доступа путем разграничения доступа и прав на совершение изменений в базе событий по областям компетенции работников, а также требований к обеспечению сохранности данных, защиты их от искажений, их соответствия требованиям к ведению базы событий, указанным в пункте 6.6 Положения N 716-П, и прочим требованиям к качеству данных, указанным в подпункте 8.7.4. пункта 8.7 Положения N 716-П (например, сохранность, актуальность, согласованность и доступность данных).

В порядке ведения базы событий кредитная организация самостоятельно определяет порядок доступа работников, вовлеченных в процесс управления операционным риском, к базе событий, а также порядок сбора, регистрации, верификации данных по событиям операционного риска, определению потерь и возмещений по данным событиям.

Исходя из характера и масштаба деятельности кредитная организация может выбрать один из следующих способов ведения базы событий:

централизованный способ, когда информация о реализации событий операционного риска регистрируется в базе событий работниками подразделения, ответственного за организацию системы управления операционным риском;

децентрализованный способ, когда сбор информации о событии операционного риска и ее регистрация в базе событий производится ответственными работниками центров компетенций в рамках их функциональных обязанностей;

смешанных способ, когда обязанности по ведению базы событий разделены между участниками данного процесса.

Обращаем внимание, что в соответствии с пунктом 1.3 Положения N 716-П кредитная организация во внутренних документах должна определить ответственность и роли центров компетенции за идентификацию операционного риска, сбор информации, информирование о выявленном (идентифицированном) операционном риске участников процесса управления операционным риском, с указанием сроком рассмотрения получаемой информации, ее маршрутизации внутри кредитной организации и обработки, а также документооборота.