Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Письмо Банка России от 27 апреля 2024 г. № 42-8-2/1699 “О рассмотрении письма Ассоциации банков России”

Обзор документа

Письмо Банка России от 27 апреля 2024 г. № 42-8-2/1699 “О рассмотрении письма Ассоциации банков России”

Департамент надзора за системно значимыми кредитными организациями Банка России рассмотрел письмо Ассоциации банков России от 27.03.2024 N 02-05/307 и направляет ответы на вопросы в приложении к настоящему письму.

Приложение: 1 ф.

И.о. директора Департамента
надзора за системно значимыми
кредитными организациями
В.В. Молчанова

Приложение

Комментарии Департамента надзора за системно значимыми кредитными организациями1

N п/п Содержание вопроса Комментарий ДНСЗКО
1 2 3
1. Необходимо ли повторно направлять отчетную форму 0409106 в случае, если после отправки формы в рамках валидации данных вносятся изменения в ранее зарегистрированные события, такие как: - реклассификация инцидентов операционного риска (изменение вида источника риска, вида события риска, иных существенных признаков события операционного риска, влияющих на формирование отчетной формы) - объединение отдельных ранее зарегистрированных событий в группу однородных событий в соответствии с п. 6.12 Положения 716-П? В случае выявления фактов представления кредитной организацией отчетности по форме 0409106 2, содержащей неверные (искаженные) значения показателей (по сравнению с данными, содержащимися в базе событий на день составления отчетности по форме 0409106)3, предусмотрено ее повторное представление в Банк России (с уточненными значениями показателей)4. Иные критерии для ее повторного представления не установлены. В случае если в текущем отчетном периоде (квартале) были выявлены факты, влияющие на классификацию ранее зарегистрированного в базе событий события операционного риска, информация о котором была ранее направлена в составе отчетности по форме 0409106, и (или) события операционного риска, потери и (или) возмещения по которым были отражены на счетах бухгалтерского учета в прошлом отчетном периоде (квартале) и не содержались в ранее направленной отчетности по форме 0409106, сумма данных потерь и (или) возмещений с обновленными классификационными признаками (при наличии) учитывается в показателе "нарастающим итогом с начала года" отчетности по форме 0409106 на ближайшую отчетную дату, при этом повторное направление в Банк России отчетности по форме 0409106 за прошлые отчетные периоды (кварталы) с актуализированными данными кредитной организацией не предусматривается.
2. Просим подтвердить правильность подхода отражения в базе событий операционного риска нулевой величины потенциальных потерь в случае выявления и регистрации событий ОР в момент реализации прямых потерь. При этом ранее событие в базе не регистрировалось, дополнительных прямых и/или косвенных потерь по событию не предполагается. Кредитная организация в соответствии с пунктом 6.6 Положения N 716-П обеспечивает заполнение группы полей базы событий, содержащей информацию о потерях от реализации события операционного риска по каждому виду потерь и возмещений5. В случае отсутствия информации об отдельных видах потерь и (или) возмещений вследствие реализации события операционного риска (отсутствия их возникновения) заполнение соответствующих полей базы событий не требуется.
3. Просим подтвердить правильность подхода заведения длящихся событий с потерями в базе событий операционного риска. При выявлении события, проявления которого возникают в течение длительного периода времени, данное событие признается длящимся и регистрируется в базе событие при первом его проявлении, как единичное родительское событие. Последующие эпизоды, связанные с его реализацией, добавляются в родительское событие, как его проявление (влияние) нарастающим итогом. В отчетности по операционным рискам указанное событие учитывается как 1 событие с его отнесением к тому отчетному периоду, когда данное событие было зарегистрировано в базе событий, а также в первый отчетный период календарного года - в случае, если событие было зарегистрировано ранее текущего календарного года. При этом косвенные и потенциальные потери отражаются по дате регистрации родительского события, прямые - по дате отражения потерь в бухгалтерском учете. (Пример: из-за ошибки при разработке и изменении ПО у 20 клиентов с января 2023 года каждый месяц некорректно списывается комиссия в размере 500 рублей, которая в последующем не компенсируется банком, ошибка функциональности не устранена. В отчетности за 1 кв. 2023 года будет отражено 1 событие с потенциальными потерями 30 тыс. руб.; в отчетности за 2 кв. 2023 - 0 событий, потенциальные потери - 0; в отчетности за 1 пг. 2023 - 1 событие с потенциальными потерями 60 тыс. руб. и т.д.) Позицию подтверждаем. Комментарии Банка России по вопросу регистрации событий операционного риска, обусловленных сбоем информационной системы, размещены на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 4)", вопрос N 6. В целях формирования отчетов по операционному риску в соответствии с подпунктом 4.2.2 пункта 4.2 Положения N 716-П (далее - внутренние отчеты) прямые потери от реализации событий операционного риска следует учитывать по дате их отражения на счетах бухгалтерского учета, непрямые потери - по дате регистрации события операционного риска в базе событий в соответствии с абзацем тридцатым пункта 6.6 Положения N 716-П 6. Таким образом, потери, которые были включены во внутренние отчеты в отчетном квартале 2023 года, подлежат отражению при расчете показателей как за отчетный квартал, так и с начала года накопленным итогом.
4. Возможно ли назначение нескольких лиц, замещающих должностное лицо, ответственное за обеспечение функционирования информационных систем (п. 8.3. Положения 716-П), и должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем (пп. 8.8.9., 8.8.10. Положения 716-П), на время их отсутствия с разграничением функционала В соответствии с абзацем третьим пункта 8.3 и подпунктом 8.8.10 пункта 8.8 Положения N 716-П допускается назначение только одного лица, замещающего должностное лицо, ответственное за обеспечение информационных систем, и одного лица, замещающего должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем.
5. Просим разъяснить, должно ли подразделение, ответственное за организацию аутсорсинга, отличаться от подразделения, ответственного за закупки, и от подразделения, ответственного за организацию управления операционным риском (т.к. понятие данных подразделений разделены в проекте изменений в Положение 716-П)? В соответствии с проектируемыми нормами подразделение, ответственное за организацию аутсорсинга, является специализированным подразделением кредитной организации в соответствии с абзацем седьмым пункта 1.3 действующей редакции Положения N 716-П. При этом данное подразделение не должно являться заказчиком аутсорсинга, ответственным (ответственными) за осуществление функций, операций, услуг и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы). Кредитная организация самостоятельно определяет специализированное подразделение или несколько подразделений, ответственное (ответственных) за управление риском аутсорсинга и вправе возложить функции по управлению указанным видом операционного риска, например, на подразделение, ответственное за закупки. В зависимости от характера и масштаба деятельности кредитная организация в соответствии с требованиями Положения N 716-П вправе не назначать специализированное подразделение по управлению отдельными видами операционного риска, например, риском аутсорсинга. В данном случае в соответствии с абзацем двенадцатым пункта 1.4 Положения N 716-П процедуры управления риском аутсорсинга должны будут выполняться подразделением, ответственным за организацию управления операционным риском, в составе службы управления рисками. Обращаем внимание, что указанный вопрос касается норм проекта указания7, который в настоящее время находится на согласовании в Банке России, в связи с чем вышеуказанные разъяснения носят предварительный характер.
6. Допускается ли при составлении плана мероприятий по проведению качественной оценки уровня операционного риска (п. 2.1.5. Положения 716-П) не перечислять конкретные процессы, подлежащие оценке, а включать ссылку на утвержденный перечень процессов (п. 4.1.1. Положения 716-П), в соответствии с которым будут осуществляться мероприятия по оценке? В соответствии с абзацем шестым подпункта 2.1.5 пункта 2.1 Положения N 716-П подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него перечня критически важных процессов, определенных кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П, и перечня процессов, уровень существенности операционного риска у которых по результатам качественных оценок, предшествующих дате проведения качественной оценки уровня операционного риска, был высоким или очень высоким в соответствии с абзацем одиннадцатым подпункта 2.1.1 пункта 2.1 Положения N 716-П или не оценивался в течение двух лет, предшествующих дате проведения качественной оценки уровня операционного риска, в отношении которых осуществляется качественная оценка уровня операционного риска, с указанием ответственных и участвующих подразделений кредитной организации (головной кредитной организацией банковской группы). Одновременно сообщаем, что кредитная организация (головная кредитная организация банковской группы) самостоятельно определяет степень (глубину) детализации перечня процессов в зависимости от характера и масштаба совершаемых операций, уровня и сочетания рисков, присущих процессам деятельности кредитной организации (головной кредитной организации банковской группы). При этом указание в плане проведения качественной оценки уровня операционного риска ссылки на утвержденный перечень процессов допускается в случае, если кредитная организация проводит ее по всем процессам8. В таком случае план проведения качественной оценки уровня операционного риска может содержать, например, перечень направлений деятельности с указанием ссылки на утвержденный перечень процессов.
7. Планируется ли развитие требований к системе обеспечения непрерывности и восстановления деятельности (Положение 242-П), в т.ч. в рамках уточнения взаимосвязей непрерывности с операционной надежностью (Положение 787-П)? Банк России планирует издать методические рекомендации в части управления риском нарушения непрерывности деятельности и обеспечения непрерывности критически важных процессов кредитных организаций. Впоследствии положения указанных методических рекомендаций планируется включить в Положение N 716-П в виде требований.

------------------------------

1 Далее - ДНСЗКО.

2 Отчетность по форме 0409106 "Отчет по управлению операционным риском в кредитной организации", установленная Указанием Банка России от 10.04.2023 N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный Банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" (далее - отчетность по форме 0409106).

3 Например, указание в отчетности по форме 0409106 некорректных значений величин прямых потерь и (или) возмещений, указание классификационных признаков в отчетности по форме 0409106, отличных от приведенных в базе событий.

4 За отчетный период в течение последних трех лет.

5 С соблюдением требований главы 9 Положения N 716-П.

6 Потери от реализации события операционного риска учитываются в отчетах по операционному риску вне зависимости от статуса события операционного риска, присвоенного ему в соответствии с абзацем десятым пункта 6.6 Положения N 716-П.

7 Проект указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".

8 Критически важным, основным, прочим процессам, определенным кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П.

Обзор документа


Банк России, в частности, разъяснил:

- нужно ли повторно направлять отчет по управлению операционным риском, если после его отправки в рамках валидации данных меняются ранее зарегистрированные события (реклассификация инцидентов операционного риска, объединение отдельных событий в группу однородных);

- возможно ли назначение нескольких лиц, замещающих отсутствующих сотрудников, ответственных за обеспечение функционирования информсистем и за обеспечение непрерывности их функционирования, с разграничением функционала;

- должно ли подразделение по организации аутсорсинга отличаться от подразделения по закупкам и от подразделения по организации управления операционным риском.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ: