Настоящее Указание на основании подпункта 8 пункта 7 статьи 33.10 Закон Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" устанавливает требования к организации системы управления рисками оператора автоматизированной информационной системы страхования.

1. Оператор автоматизированной информационной системы страхования, созданной в соответствии с главой IV.2 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее - АИС страхования), должен организовать систему управления рисками в соответствии с требованиями, установленными настоящим Указанием.

2. Система управления рисками оператора АИС страхования должна включать следующие элементы:

процедуры управления рисками;

классификатор рисков, используемый в системе управления рисками;

базу случаев фактической реализации риска (далее - риск-событие);

контрольные показатели уровня риска;

подразделение оператора АИС страхования, ответственное за организацию управления риском, (лицо, ответственное за организацию управления риском), находящееся в непосредственном подчинении единоличного исполнительного органа оператора АИС страхования (далее - подразделение, ответственное за организацию системы управления рисками);

подразделение оператора АИС страхования, структурно независимое от подразделения, ответственного за организацию системы управления рисками, уполномоченное проводить не реже одного раза в два года оценку эффективности функционирования системы управления рисками, в том числе оценку эффективности выполнения принятых оператором АИС страхования процедур управления рисками (далее - уполномоченное подразделение);

автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами оператора АИС страхования, обеспечивающую функционирование как в целом системы управления рисками, так и отдельных ее элементов, в том числе сохранность данных и их защиту от искажений;

дополнительные элементы системы управления рисками, определенные оператором АИС страхования.

2. Оператор АИС страхования выявляет, классифицирует и фиксирует риск-события в базе событий.

3. Оператор АИС страхования для всех видов рисков определяет во внутренних документах единый классификатор рисков. Единый классификатор рисков должен обновляться оператором АИС страхования с учетом изменений осуществляемых операций и (или) действующих процессов оператора АИС страхования. Оператор АИС страхования классифицирует все риски в разрезе следующих элементов: источников риска, типов риск-событий, направлений деятельности, в том числе в разрезе составляющих их процессов, видов потерь от реализации риска, мер, направленных на минимизацию или предотвращение рисков, и мероприятий по обеспечению непрерывности деятельности.

4. Оператор АИС страхования выделяет следующие виды рисков, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию системы управления риском:

риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности оператора автоматизированной информационной системы;

риск отказа и (или) нарушения функционирования применяемых оператором АИС страхования информационных систем и (или) несоответствия их функциональных возможностей и характеристик потребностям оператора АИС страхования;

риск нарушения оператором АИС страхования и (или) его контрагентами требований законодательства или условий заключенных договоров, несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в деятельности оператора АИС страхования), риск введения в отношении оператора АИС страхования и (или) его контрагентов санкций со стороны иностранных государств;

риск ошибки в управлении проектами, состоящий в недостатках и нарушениях организации процессов управления проектной деятельностью, направленных на изменение систем функционирования и поддержания работоспособности оператора АИС страхования;

риск ошибки в управленческих процессах, состоящий в недостатках и нарушениях внутренних процессов оператора АИС страхования, недостатках принятия решений по сделкам и внутрихозяйственной деятельности;

риск ошибки в процессе осуществления внутреннего контроля, состоящий в недостатках и нарушениях системы внутреннего контроля, нарушениях внутренних правил совершения операций и сделок;

риск ошибки процесса управления персоналом, состоящий в недостатках и нарушениях внутренних процессов оператора АИС страхования в управлении персоналом, в том числе при подборе, найме, адаптации, увольнении, обеспечении безопасности и охраны труда, социальной поддержки, в системе вознаграждения и компенсации.

5. В целях контроля за уровнем риска оператор АИС страхования определяет во внутренних документах на плановый годовой период контрольные показатели уровня риска, а также устанавливает целевые значения этих показателей.

6. Оценка эффективности выполнения процедур управления риском оператора АИС страхования производится уполномоченным подразделением. Отчет о результатах оценки эффективности выполнения процедур управления рисками (в том числе на предмет их полноты и корректности) предоставляется уполномоченным подразделением на рассмотрение Совету директоров (наблюдательному совету) и коллегиальному исполнительному органу оператора АИС страхования в срок, установленный во внутренних документах оператора АИС страхования.

7. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ ______ 2023 года N ПСД-__) вступает в силу с 1 апреля 2024 года.

Пояснительная записка к проекту Указания Банка России "О требованиях к организации системы управления рисками оператора автоматизированной информационной системы страхования"

Банк России разработал проект указания "О требованиях к организации системы управления рисками оператора автоматизированной информационной системы страхования" (далее - проект).

29 декабря 2022 года был принят Федеральный закон N 594-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части создания автоматизированной информационной системе страхования", целью которого является создание централизованной системы хранения информации с прямым участием Банка России в сфере страхования автоматизированной информационной системы страхования (далее - АИС страхования).

Сведения из АИС страхования могут быть получены страховщиками в целях заключения и исполнения договора страхования. Среди пользователей АИС страхования также находятся субъекты страхования. Для субъектов страхования предусмотрена возможность бесплатного получения страховой истории из АИС страхования.

Создание АИС страхования будет способствовать повышению информационной прозрачности страхового рынка, обеспечению ценовой доступности страхования, развитию конкуренции на страховом рынке.

Учитывая высокую социальную и экономическую значимость бесперебойного функционирования АИС страхования, устанавливаемые проектом требования к системе управления рисками (далее - СУР) ее оператора направлены на минимизацию возможности их возникновения и оценку эффективности выполнения процедур управления риском оператора АИС страхования.

В частности, проект содержит требования к обязательным элементам, которые должна содержать СУР оператора АИС страхования. К таким элементам в том числе относятся:

процедуры управления рисками;

классификатор рисков;

база риск-событий;

контрольные показатели уровня риска;

подразделение оператора АИС страхования, ответственное за организацию управления риском;

подразделение оператора АИС страхования, структурно независимое от подразделения, ответственного за организацию системы управления рисками;

Также проект устанавливает требования к классификации рисков и оценке эффективности процедур управления рисками. Среди таких рисков проектом выделяются:

риск реализации угроз безопасности информации;

риск отказа и (или) нарушения функционирования применяемых оператором АИС страхования информационных систем;

правовой риск;

риск ошибки в управлении проектами;

риск ошибки в управленческих процессах;

риск ошибки в процессах процессе осуществления внутреннего контроля;

риск ошибки процесса управления персоналом.

Таким образом, принятие проекта позволит обеспечить надлежащий уровень организации управления рисками оператора АИС страхования и, как следствие, бесперебойное функционирование АИС страхования.

Действие нормативного акта будет распространяться на деятельность оператора АИС страхования.

Предложения и замечания по проекту принимаются по электронному адресу smolyakovan@cbr.ru с 24.04.2023 по 07.05.2023.