Анонсы
Программа повышения квалификации "О контрактной системе в сфере закупок" (44-ФЗ)"

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Письмо Банка России от 25 октября 2021 г. N 41-4-4-1/914 “О рассмотрении предложений Ассоциации банков России к проекту указания Банка России”

Обзор документа

Письмо Банка России от 25 октября 2021 г. N 41-4-4-1/914 “О рассмотрении предложений Ассоциации банков России к проекту указания Банка России”

В связи с письмом Ассоциации банков России от 27.09.2021 N 02-05/975 о направлении предложений и замечаний к проекту указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - проект указания), размещенному на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в целях проведения оценки регулирующего воздействия в период с 27.08.2021 по 09.09.2021, направляем таблицу учета замечаний и предложений.

Приложение: таблица учета замечаний и предложений Ассоциации банков России к проекту указания - на 19 л.

Директор Департамента
банковского регулирования 		А.А. Лобанов

Приложение

Таблица
учета замечаний и предложений Ассоциации банков России к проекту указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - проект)

N п/п Структурная единица проекта (Положения N 716-П) Содержание замечания или предложения Пояснение Решение Комментарий Департамента банковского регулирования Банка России
1 2 3 4 5 6
1. Вопрос (пункт 1.3 Положения N 716-П) Уточнить / дать пояснения Вопросы: Предполагается ли выделение специализированного подразделения по управлению риском нарушения непрерывности деятельности с учетом требований седьмого абзаца п. 1.3 Положения 716-П? Может ли выступать в качестве специализированного подразделения уполномоченный комитет (например, Комитет по обеспечению непрерывности деятельности в кредитной организации)? Даны пояснения 1) Кредитная организация самостоятельно исходя из характера и масштаба деятельности определяет необходимость выделения специализированных подразделений для управления отдельными видами операционного риска. В соответствии с пунктом 1.4 Положения Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П) процедуры управления риском нарушения непрерывности деятельности выполняются специализированным подразделением кредитной организации (головной кредитной организации банковской группы) при участии подразделения, ответственного за организацию управления операционным риском. В случае если кредитная организация (головная кредитная организация банковской группы, участник банковской группы) не выделяет специализированное подразделение по управлению риском нарушения непрерывности деятельности, рекомендуем кредитной организации возложить выполнение процедур управления риском нарушения непрерывности деятельности на подразделение, ответственное за организацию управления операционным риском. 2) Уполномоченный комитет не может выступать в качестве специализированного подразделения.
2. Абзац второй подпункта 1.2 пункта 1 (пункт 1.6 Положения N 716-П) Удалить "и услуг" из текста: "Кредитная организация (головная кредитная организация банковской группы) обеспечивает непрерывность осуществления критически важных процессов и услуг" В Положении 716-П отсутствует определение критичных услуг. Учтено Учтено в обновленной редакции проекта. Слова "и услуг" заменены на слова "и критически важных операций", при этом подпункт 4.1.1 пункта 4.1 Положения N 716-П дополнен определением критически важных операций.
3. Абзац второй подпункта 1.3.2 пункта 1 (абзац второй подпункта 2.1.4 пункта 2.1 Положения N 716-П) Уточнить, что подразумевается под "продвинутым подходом" Вопросы: Исходя из текущих формулировок требований нормативных документов Банка России не ясно, какой именно подход может быть отнесен к продвинутому: 1) в соответствии с п. 5 приложения 2 Положения 716-П; 2) в соответствии с п. 3.3 Указания 3624-У; 3) иной подход. Может ли кредитная организация, применяющая продвинутый подход к количественной оценке непредвиденных потерь от реализации операционного риска ограничиться только агрегированной оценкой уровня операционного риска и не прибегать к прочим способам количественной оценки, предусмотренным в п. 2.1.4 Положения 716-П? Даны пояснения 1) Приведенная в указанном абзаце формулировка содержится в Положении N 716-П, а также используется в Указании Банка России от 15.04.2015 N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы". 2) Кредитная организация выбирает способы проведения процедуры количественной оценки уровня операционного риска исходя из особенностей соблюдения требований Положения N 716-П кредитными организациями, установленных в главе 9 Положения N 716-П.
4. Абзацы пятый-шестой подпункта 1.3.3. пункта 1 (абзац восьмой подпункта 2.1.5 пункта 2.1 Положения N 716-П) Исключить требование о проведении самооценки "не реже одного раза в год" для всех подразделений или Регламентировать / пояснить проведение ежегодной качественной оценки уровня операционного риска Требования восьмого абзаца п. 2.1.5 в предлагаемой редакции предусматривают необходимость самооценки "по всем направлениям деятельности". Кредитные организации не могут сконцентрировать свои усилия по наиболее рискованным областям. Необходимо регламентировать или пояснить работу с подразделениями кредитной организации по проведению ежегодной качественной оценки уровня операционного риска по всем направлениям деятельности с обязательным включением в него процессов и подразделений, если уровень операционного риска у подразделений не оценивается как "высокий" и/или "очень высокий". Учтено Учтено в обновленной редакции проекта в следующей формулировке: "Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска, с обязательным включением в него процессов и подразделений, уровень операционного риска у которых по результатам предыдущих качественных оценок был "высокий" и "очень высокий" или не оценивался в течение предыдущих двух лет, который утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы) и включает определение ответственных и участвующих подразделений кредитной организации (головной кредитной организации банковской группы) (далее - план проведения качественной оценки).".
5. Абзацы седьмой-восьмой подпункта 1.3.3. пункта 1 (абзац одиннадцатый подпункта 2.1.5 пункта 2.1 Положения N 716-П) Изложить абзац 11 в следующей редакции: критерии оценки уровня существенности операционного риска (с соотнесением к четырехуровневой шкале: "очень высокий", "высокий", "средний", "низкий"), включая критерии оценки существенности потерь и качественной и количественной оценки вероятности реализации операционного риска в условиях текущего процесса Оценка вероятности может базироваться на доступных статистических данных. Предлагаем предусмотреть возможность количественной оценки вероятности. Учтено Учтено в обновленной редакции проекта в следующей формулировке: "критерии оценки уровня существенности операционного риска (с соотнесением к четырехуровневой шкале: "очень высокий", "высокий", "средний", "низкий"), включая критерии оценки существенности потерь и количественной и качественной оценки вероятности реализации операционного риска в условиях текущего процесса".
6. Абзац четвертый подпункта 1.3.3. пункта 1 (абзац шестой подпункта 2.1.5 пункта 2.1 Положения N 716-П) Уточнить Скорректировать на "уровень остаточного операционного риска у которых по результатам предыдущих качественных оценок был оценен как "высокий" и "очень высокий"" Предлагается уточнить, какой уровень операционного риска по результатам предыдущих качественных оценок имеется в виду (абзац 13 п. 2.1.5 Положения 716-П). Даны пояснения Кредитная организация самостоятельно определяет критерии проведения самооценки операционного риска. Рекомендуем относить к таким критериям не только высокий уровень остаточного риска, но и высокий уровень существенности операционного риска в целом без учета действующих форм (способов) контроля.
7. Абзац десятый подпункта 1.3.3 пункта 1 (абзац семнадцатый подпункта 2.1.5 пункта 2.1 Положения N 716-П) Слово "возможно" выделить запятыми Техническая правка Отклонено См. комментарий к строке 8 настоящей таблицы.
8. Абзац десятый подпункта 1.3.3 пункта 1 (абзац семнадцатый подпункта 2.1.5 пункта 2.1 Положения N 716-П) Исключить из указанного абзаца слово "возможно" либо вернуть формулировку из действующей редакции Положения 716-П: "Кредитная организация (головная кредитная организация банковской группы) определяет в порядке проведения сценарного анализа операционных рисков критерии проведения сценарного анализа операционных рисков в отношении выявленных операционных рисков в ходе качественной оценки уровня операционного риска, проводимой в соответствии с планом проведения качественной оценки, а также источников операционного риска, которые не реализовались в кредитной организации (головной кредитной организации банковской группы), но у которых есть вероятность реализации с высоким уровнем потерь или других последствий с негативным влиянием на деятельность кредитной организации (головной кредитной организации банковской группы) Формулировка "возможно не реализовались" не дает понимания о том, как выявлять, фиксировать и оценивать такие источники риска. Учтено Учтено в обновленной редакции проекта (слово "возможно" исключено).
9. Абзац двенадцатый подпункта 1.3.3 пункта 1 (подпункт 2.1.5 пункта 2.1 Положения N 716-П) Исправить по тексту "Кредитная организация (головная кредитная организация банковской группы)" Техническая правка Учтено Учтено в обновленной редакции проекта.
10. Абзац тринадцатый подпункта 1.3.3. пункта 1 (подпункт 2.1.5 пункта 2.1 Положения N 716-П) Уточнить, к какой части предложения относятся слова "...и порядок их проведения..." Описать "...порядок оценки модели угроз...", Уточнить Неясно "порядок проведения", что имеется в виду и что нужно сделать. В указанном ссылочно подпункте 3.13.2 пункта 3.13 настоящего Положения такой порядок не представлен. Вопросы: Методика должна (может) быть одна для всех отдельных видов операционного риска или отдельная для каждого отдельного вида операционного риска? Какое подразделение (роль) в кредитной организации разрабатывает соответствующую методику (методики)? 1) Учтено 2) Отклонено 1) Учтено в обновленной редакции проекта (слово "их" заменено на слово "его"). 2) Не является предметом проводимой оценки регулирующего воздействия проекта. Кредитная организация самостоятельно разрабатывает во внутренних документах методику моделирования угроз реализации операционного риска и порядок его проведения с учетом требований Положения N 716-П и проекта положения Банка России "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг", а также в соответствии с подпунктом 3.13.2 пункта 3.13 Положения N 716-П в части применения шкал качественной оценки.
11. Абзац четырнадцатый подпункта 1.3.3. пункта 1 (подпункт 2.1.5 пункта 2.1 Положения N 716-П) Требуются пояснения и уточнение формулировок Если под положением "Положение Банка России N ____-П." подразумевается документ, проект которого разработан в целях реализации норм, направленных на установление требований к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг, то данный проект предполагает более узкую трактовку моделирования угроз (а именно моделирование информационных угроз - п. 9 Положения Банка России N ____-П) в то время, как рассматриваемый Проект изменений в Положение 716-П подразумевает под моделированием угроз более широкое понятие: "моделирование потенциальных источников реализации операционного риска и возможных потерь от них (далее - моделирование угроз)". Даны пояснения Моделирование угроз подразумевает моделирование потенциальных источников реализации операционного риска и возможных потерь от них. Кредитная организация применяет моделирование угроз в целях проведения качественной оценки отдельных видов операционного риска, например, риска информационной безопасности, в соответствии с подпунктом 2.1.5 пункта 2.1 Положения N 716 П.
12. Абзац шестой подпункта 1.6.2. пункта 1 (абзац двенадцатый подпункта 3.13.2 пункта 3.13 Положения N 716-П) Детализировать требования в отношении методики В последнем абзаце подпункта 3.13.2. указано, что кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах критерии шкалы качественных оценок и методику определения оценок для качественных потерь от реализации события операционного риска, включая критерии соотнесения шкалы качественных оценок с количественными потерями. Вопросы: Должна ли методика и шкала оценок быть единой для всех видов рисков и охватывать все, включая отдельные виды рисков (например, правовой) или отдельные направления деятельности? Возможно ли установление индивидуальной методики и шкалы оценок для отдельных видов рисков (например, правового) или отдельных направлений деятельности? В каком внутреннем документе кредитной организации (головной кредитной организации банковской группы) это должно быть отражено? Даны пояснения Не является предметом проводимой оценки регулирующего воздействия проекта. Шкала качественных оценок должна быть одинаковой для обеспечения сопоставимости результатов оценки по всем видам операционного риска. Методики определения оценок для качественных потерь от реализации событий операционного риска могут быть разными для различных видов операционного риска при условии сопоставимости шкал качественных оценок.
13. Абзац четвертый подпункта 1.7.2. пункта 1 (абзац седьмой подпункта 4.1.5 пункта 4.1 Положения N 716-П) Добавление слов "установление во внутренних документах кредитной организации (головной кредитной организацией банковской группы) требований к системе управления операционным риском, в абз.7 подпункта 4.1.5 Положения 716-П излишне Аналогичный смысл заложен в пп. 4.1.3 Положения 716-П: "4.1 Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) в дополнение к элементам, предусмотренным в пункте 1.3 настоящего Положения, включает следующие элементы" "4.1.3. Внутренние документы, устанавливающие в кредитной организации (головной кредитной организации банковской группы) структуру и организацию системы управления операционным риском, в том числе полномочия и функции руководителей подразделения, ответственного за организацию управления операционным риском, специализированных подразделений, центров компетенций с учетом исключения конфликта интересов." Отклонено Дополнение подпункта 4.1.5 пункта 4.1 Положения N 716-П нормой, указанной в абзаце четвертом подпункта 1.7.2 пункта 1 проекта является самостоятельной нормой, и не дублирует требования подпункта 4.1.3 пункта 4.1 Положения N 716-П.
14. Абзац третий-четвертый подпункта 1.12 пункта 1 (пункт 5.3 Положения N 716-П) Предлагаем убрать введение нового абзаца, которым предписывается утверждать сигнальные и контрольные значения уровня ОР сначала на наблюдательном совете, потом еще раз - коллегиальным органом управления Не ясна смысловая нагрузка утверждения сигнальных и контрольных значений уровня ОР несколько раз. Предлагаем утверждать значения один раз на наблюдательном совете Даны пояснения В соответствии с предложениями банковского сообщества в целях снижения нагрузки на совет директоров (наблюдательный совет) кредитной организации проектом введены изменения, в соответствии с которыми: 1) Совет директоров (наблюдательный совет) утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска в целом по кредитной организации (головной кредитной организации банковской группы); 2) Коллегиальный исполнительный орган кредитной организации утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска на основе значений установленных советом директоров (наблюдательным советом), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса.
15. Абзацы второй, одиннадцатый подпункта 1.13, абзацы третий, четвертый подпункта 1.17 пункта 1 (абзацы второй, двадцать девятый пункта 6.6, пункт 6.12 Положения N 716-П) Изложить в редакции: Кредитная организация (головная кредитная организация банковской группы) регистрирует группу событий в базе событий как одно событие операционного риска или как отдельную сущность с указанием количества событий операционного риска, включенных в группу событий Пояснить и при необходимости внести соответствующие уточнения в Проект В абз. 3 п. 6.6 текущий редакции Положения 716-П имеется оговорка о том, что идентификатор присваивается группе событий только если кредитная организация объединяет события операционного риска в такие группы: "идентификатор группы событий операционного риска (в случае, если события операционного риска объединены в группу), определяемой в соответствии с пунктом 6.12 настоящего Положения;" При этом, по формулировкам, которые используются в комментируемых пунктах Проекта, нельзя сделать вывод о том, что объединять события операционного риска в группы или нет - право кредитной организации. Кроме того, необходимо предусмотреть возможность регистрации группы событий в качестве отдельной сущности автоматизированной системы управления операционными рисками. Вопрос: Просим разъяснить является ли группировка событий с применением критериев однородности требованием, обязательным к исполнению? Даны пояснения Группировка событий с применением критериев однородности является требованием, обязательным к исполнению в соответствии с пунктом 6.12 Положения N 716-П. Кредитная организация вправе зарегистрировать группу событий одной записью в базе событий или зарегистрировать каждое событие операционного риска, входящее в группу событий отдельно, указав признак группы событий в базе событий.
16. Абзацы двенадцатый-тринадцатый подпункта 1.13 пункта 1 (абзац тринадцатый пункта 6.6 Положения N 716-П) Рассмотреть возможность не включать данное изменение В случаях длящихся событий операционного риска, когда дата регистрации события и дата отражения косвенной потери в бухгалтерском учете или влияния косвенной потери на финансовый результат деятельности относятся к разным отчетным периодам, учет такой непрямой потери в базе событий по дате регистрации события может привести к возникновению расхождений с данными бухгалтерского учета и управленческой отчетности. Отдельные виды косвенных потерь отражаются в бухгалтерском учете по счетам расходов (в частности, расходы на формирование резервов на возможные потери в части неполученных процентов). Также косвенные потери в связи с неполучением дохода в результате реализации события операционного риска могут оказывать влияние на финансовый результат деятельности кредитной организации и быть признанными в качестве косвенных потерь в отчетных периодах, наступившим после датой наступления события операционного риска (например, технологический сбой, наступивший и зарегистрированный как событие операционного риска в одном отчетном периоде и повлекший длительное нарушение деятельности и неполучение кредитной организацией доходов в последующих отчетных периодах). Отклонено См. комментарий к строке 17 настоящей таблицы.
17. Абзацы двенадцатый-тринадцатый подпункта 1.13 пункта 1 (абзац тринадцатый пункта 6.6 Положения N 716-П) Изложить абзац в редакции: "дату учета потери, то есть в случае реализации прямой потери - дату отражения прямой потери от реализации события операционного риска на счетах бухгалтерского учета (например, для событий правового риска датой учета потерь являются дата создания (изменения) резерва в соответствии с абзацем пятым подпункта 3.12.6 пункта 3.12 настоящего Положения и даты отражения в бухгалтерском учете других связанных с этим обстоятельством расходов; для событий операционного риска, связанных с кредитным риском, датой учета потерь является дата создания (изменения) резерва в соответствии с абзацем четвертым подпункта 3.12.1 пункта 3.12 настоящего Положения), в случае реализации непрямой потери - дату регистрации непрямой потери события операционного риска" Дата регистрации по непрямой потере не всегда совпадает с датой регистрации последствия, поэтому последнюю фразу предлагаем изложить в следующей редакции: ... в случае реализации непрямой потери - дату регистрации непрямой потери. Отклонено Непрямые потери кредитной организации определяются кредитной организацией расчетным способом по методике, разработанной в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П, и могут не отражаться на счетах бухгалтерского учета. В связи с этим, регистрировать непрямую потерю после ее определения (расчета) назначенным экспертом необходимо по дате регистрации события операционного риска.
18. Абзацы семнадцатый, восемнадцатый подпункта 1.13 пункта 1 (абзац тридцать четвертый пункта 6.6 Положения N 716-П) Уточнить Проект предполагает абзац тридцать четвертый изложить в следующей редакции: "агрегированную сумму валовых прямых потерь и суммы косвенных потерь в рублях накопленным итогом с даты регистрации первой потери;", что допускает неоднозначность толкования. В отличие от действующей редакции Положения 716-П, слово "валовых" перед словами "косвенных потерь" в измененной редакции абзаца отсутствует. Вопрос: Должен ли данный агрегированный показатель учитывать суммы возмещений косвенных потерь? Просим явно указать на необходимость/отсутствие необходимости их включения. Отклонено В представленной формулировке не используется слово "чистые", в связи с чем указывается величина потерь до учета возмещений.
19. Абзацы двадцать первый, двадцать второй подпункта 1.13 пункта 1 (абзац тридцать шестой пункта 6.6 Положения N 716-П) Уточнить В отличие от действующей редакции Положения 716-П, слово "валовых" перед словами "косвенных потерь" в измененной редакции абзаца отсутствует. Проект предполагает абзац тридцать шестой Положения 716-П изложить в следующей редакции: "сумму косвенных потерь в рублях накопленным итогом с даты регистрации первой потери;", что допускает неоднозначность толкования. Вопрос: Должен ли этот показатель учитывать суммы возмещений косвенных потерь? Просим явно указать на необходимость/отсутствие необходимости их включения. Отклонено В представленной формулировке не используется слово "чистые", в связи с чем указывается величина потерь до учета возмещений.
20. Абзац шестой подпункта 1.26, подпункт 1.30 пункта 1 (пункт 7.7, абзац третий пункта 7.10 Положения N 716-П) Повторно рассмотреть возможность прямого подчинения должностных лиц, ответственных за функционирование системы обеспечения информационной безопасности/ функционирование информационных систем лицу, заместителю единоличного исполнительного органа Ввиду планов Банка России (обозначенных в комментариях к замечаниям и предложениям Ассоциации банков России к проекту указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе") по ужесточению требований к заместителю единоличного исполнительного органа организации, принимающего решение по вопросам функционирования системы обеспечения информационной безопасности / информационных систем / непрерывности функционирования информационных систем (далее - Заместитель ЕИО) не видим препятствий в прямом подчинении такому заместителю/заместителям должностных лиц лицу, Заместителю ЕИО. Если кредитная организация будет в полном объеме выполнять требования, разработанные Банком России к Заместителю ЕИО, снижение качества контроля за должностными лицами исключено. Кроме того, принимая на себя часть функций ЕИО, Заместитель принимает всю сопутствующую этим функциям ответственность. Отклонено Повторно сообщаем, что в целях повышения значимости системы управления операционными рисками в кредитных организациях, в том числе риском информационной безопасности, планируется предусмотреть усиление ответственности не только в отношении лиц, имеющих соответствующие компетенции в части реализации функционирования систем обеспечения информационной безопасности / информационных систем / непрерывности функционирования информационных систем, но и в отношении заместителя единоличного исполнительного органа организации, принимающего решение по вопросам функционирования системы обеспечения информационной безопасности / информационных систем / непрерывности функционирования информационных систем.
21. Подпункт 1.30 пункта 1 (абзац третий пункта 8.3 Положения N 716-П) Исключить фразу "обеспечении функционирования системы обеспечения информационной безопасности" из описания требований к должностному лицу (лицу, его замещающему), ответственным за обеспечение функционирования информационных систем Уточнить В Банке за обеспечение функционирования части информационных систем отвечают подразделения информационной безопасности. Необходимо уточнить, к какому из вхождений слов "функционирования информационных систем" относится изменение "Абзац третий пункта 8.3 после слов "функционирования информационных систем" дополнить словами "(с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы)) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности". Не ясна принадлежность ограничения: к должностному лицу или к подразделению? Отклонено Ограничения, предусмотренные абзацем вторым подпункта 1.30 пункта 1 проекта, относятся к должностному лицу. В проект внесено изменение, в соответствии с которым слова "не участвующего" заменены на слова "не участвующее".
22. Подпункт 1.30 пункта 1 (абзац третий пункта 8.3 Положения N 716-П) Уточнить требования к должностному лицу, ответственному за информационные системы, в части необходимости/ возможности совмещения обязанностей указанного лица с обязанностями должностного лица, ответственного за обеспечение непрерывности функционирования информационных систем (п. 8.8.10 Положения 716-П) В соответствии с комментариями Банка России просьба отразить в Положении 716-П допустимость совмещения функций по обеспечению функционирования информационных систем и по обеспечению непрерывности функционирования информационных систем. Отклонено Не является предметом проводимой оценки регулирующего воздействия проекта. Внесение изменений в проект не требуется, комментарии Банка России на официальном сайте Банка России: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Об управлении риском информационных систем".
23. Подпункт 1.31 пункта 1 (пункт 8.5 Положения N 716-П) Изложить абзац в редакции: "Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах описание архитектуры информационных систем кредитной организации и состав ее элементов, в том числе с учетом их зависимости от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы и (или) экосистемы): и/или Изменить требование в части, касающейся описания архитектуры, информационных систем и их элементов, третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы и (или) экосистемы) или Добавить: определяет во внутренних документах или на внутренних электронных информационных ресурсах или В качестве альтернативы установить возможность требования в договоре обязательного указания SLA по доступности сервисов третьих лиц, либо сформулировать более адресно требования к банкам Информация об архитектуре ИС третьих лиц и состава ее элементов может быть недоступна кредитной организации. Кроме того, учет архитектуры, состава элементов, зависимости и прочее, как правило ведется в электронном виде, в соответствующих схемах и таблицах. С учетом постоянных изменений состава и структуры информационных систем, учет перечня информационных систем так же целесообразно вести на внутреннем электронном портале банка, а не во внутреннем документе. Электронный информационный ресурс для учета - уже можно определить и узаконить в ВНД кредитной организации. Или предоставить кредитной организации выбор средства учета состава и элементов ИС. Банкам не ясны основания, по которым третьи лица будут обязаны предоставить банку информацию об их ИС и их взаимодействии с другими ИС. Например, банк может использовать сервисы ЕСИА или СМЭВ, НСПК, ПС МИР, ЦБ (АРМ КБРн), но ни одна из этих организаций не предоставила банку архитектуру информационных систем, состав ее элементов и структуры информационного обмены между их элементами с элементами других информационных систем. Учтено Учтено в обновленной редакции проекта в следующей редакции: "информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и их элементов, обеспечивающих процессы кредитной организации, и структуры информационного обмена между их элементами с элементами информационных систем кредитной организации. Кредитная организация в случае отсутствия информации об информационных системах третьих лиц, указанной в настоящем абзаце, документирует причины ее отсутствия и учитывает данное обстоятельство при оценке уровня риска информационных систем, в том числе в соответствии с абзацами седьмым и восьмым подпункта 8.7.2 пункта 8.7 настоящего Положения".
24. Подпункт 1.31 пункта 1 (пункт 8.5 Положения N 716-П) Предлагаем разделить сроки применения п. 8.5 к уже внедренным и к внедряемым системы, для уже внедренных установить отдельные сроки обеспечения соответствия требованиям Описание архитектуры для уже внедренных систем требует значительных трудовых ресурсов для проведения аудита данных систем и создания документов, описывающих их архитектуру. Отклонено Проект не устанавливает требования к описанию архитектуры информационных систем и ее элементов. Кредитная организация самостоятельно определяет степень детализации описания архитектуры информационных систем в зависимости от масштаба и характера деятельности, а также с учетом уровня критичности информационных систем. При этом отмечаем, что кредитным организациям предоставляется достаточное время для обеспечения наличия описания архитектуры информационных систем, учитывая, что проект вступает в силу 01.10.2022.
25. Подпункт 1.37.1.12. подпункта 1.37.1. пункта 1.37. / новый абзац подпункта 1.2.1 пункта 1 приложения 1 Пояснить, учитывать ли при расчете контрольных показателей по физическим лицам данные по Индивидуальным предпринимателям Вопрос отдельных банков связан с тем, что деятельность индивидуальных предпринимателей (далее - ИП) имеет признаки как физического, так и юридического лица. В некоторых формах отчетности регулятора данные об операциях ИП предписано относить к разделу с юридическими лицами. Учет операций ИП также в основном проводится в АС банка совместно с ЮЛ. Даны пояснения Индивидуальных предпринимателей необходимо относить к физическим лицам.
26. Подпункт 1.38.3. пункта 1.38. / подпункт 4.3. пункта 4 приложения 2 Уточнить порядок учета результатов качественного анализа при проведении количественной оценки С учетом представленных комментариев Банка России о необходимости разработки методических рекомендаций и подходов предлагается предоставить банкам возможность обеспечить соблюдение данных требований не с 01.01.2022 года, а спустя минимум полгода с даты опубликования планируемых методических рекомендаций. Учтено Требования, предусмотренные проектом, вступают в силу с 01.10.2022. Разъяснения Банка России по процедуре качественной оценки операционного риска размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора" , "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
27. Абзац первый подпункта 1.39.2 пункта 1 (подпункт 7.5 пункта 7 приложения 4 к Положению N 716-П) После слов "Подпункт 7.5 пункта 7" дополнить словами "Приложения 4" Техническая правка Отклонено В подпункте 1.39 пункта 1 проекта указаны слова "В приложении 4".
28. Подпункт 1.40.1 пункта 1 (абзац четвертый подпункта 1.1 пункта 1 приложения 5 к Положению N 716-П) Исправить: Изменение в отношении подпункта 1.1 пункта 1 Приложения 5 (исключение слов "информационно-телекоммуникационной " и "(далее - сеть "Интернет") относится к четвертому, а не пятому абзацу указанного пункта Положения 716-П. Техническая правка Учтено Учтено в обновленной редакции проекта.
29. Пункт 2 Дополнить Проект в части уточнения подходов Банка России к созданию и использованию реестра рисков, т.к. в текущей версии Положения 716-П сущность данного инструмента не ясна С учетом представленных комментариев Банка России о необходимости разработки методических рекомендаций и подходов предлагается предоставить банкам возможность обеспечить соблюдение данных требований не с 01.01.2022 года, а спустя минимум полгода с даты опубликования планируемых методических рекомендаций. Учтено Требования, предусмотренные проектом, вступают в силу с 01.10.2022. Разъяснения Банка России по формированию внутренних документов по управлению операционным риском размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора" , " N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
30. Предложение по внесению нового изменения Детализировать требования в отношении единого классификатора и уточнить, что означает "единый классификатор" событий операционного риска: 1. Должен ли "единый классификатор" представлять собой единый (один) внутренний документ для всех видов операционного риска в разрезе элементов, перечисленных в пункте 3.1 Положения 716-П? 2. Может ли при составлении "единого классификатора" применяться подход, при котором классификатор, например, для правового, стратегического или регуляторного риска, формируется и регламентируется отдельным внутренним документом кредитной организации (головной кредитной организации банковской группы) и является частью "единого классификатора"? 3. Каким органом управления должен быть утвержден внутренний документ в составе "единого классификатора"? В п. 3.2. установлены требования к классификатору событий операционного риска для всех видов операционного риска кредитной организации (головной кредитной организации банковской группы). При этом кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах единый классификатор событий операционного риска в разрезе элементов, перечисленных в пункте 3.1 Положения 716-П. Отклонено Не является предметом проводимой оценки регулирующего воздействия проекта. Под понятием "единый классификатор" имеется в виду, что все виды операционного риска, а также реализации иных рисков, связанных с операционным риском, для целей их верного включения в базу событий подлежат классификации в соответствии с главой 3 Положения N 716-П. При этом кредитная организация вправе во внутренних документах определить последующие уровни классификации для отдельных видов операционного риска. Единый классификатор должен быть утвержден коллегиальным исполнительным органом кредитной организации.

Обзор документа

Банк России готовит проект изменений в требования к системе управления операционным риском в кредитной организации и банковской группе. Представлена таблица учета замечаний и предложений к нему по результатам оценки регулирующего воздействия.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Получить доступ
РЕКЛАМА erid 4CQwVszH9pWwojUA9Q3