№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

О видах операционного риска (часть 5)

Вопрос

1. Обязана ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) создавать отдельное специализированное подразделение по управлению отдельными видами операционного риска?

2. В случае если кредитная организация ведет раздельные базы событий по операционному и регуляторному рискам, с включением событий регуляторного риска с прямыми потерями, связанными с реализацией операционного риска, в состав базы событий операционного риска:

- необходимо ли создавать единую методологию классификации событий операционного и регуляторного рисков?

- необходимо ли отражать дополнительную классификацию, указанную в приложении 5 к Положению Банка России от 8 апреля 2020 года № 716 П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П), в базе событий регуляторного риска, если события регуляторного риска одновременно являются событиями риска информационной безопасности?

Ответ

1. Кредитная организация вправе не назначать специализированные подразделения по управлению отдельными видами операционного риска. В данном случае в соответствии с абзацем двенадцатым пункта 1.4 Положения № 716-П процедуры управления отдельными видами операционного риска выполняет подразделение, ответственное за организацию управления операционным риском, в составе службы управления рисками.

2. В соответствии с пунктом 6.9 Положения № 716-П кредитная организация должна обеспечить единый подход к идентификации, оценке и классификации событий операционного риска и событий нефинансовых рисков, связанных с операционным риском, в соответствии с главами 2 и 3 Положения № 716-П, исключающий дублирование и пропуски информации. В то же время в соответствии с требованиями пункта 6.10 Положения № 716-П, в случае, если события нефинансовых рисков связаны с операционным риском, прямые потери по ним подлежат регистрации в базе событий операционного риска с учетом соблюдения требований глав 2 и 3, а также пунктов 6.6–6.19 Положения № 716-П.

При регистрации информации о событиях и потерях от вышеуказанных рисков данным событиям должны быть также присвоены источник риска, направление деятельности и тип события, как минимум первого уровня классификации, описанные в пунктах 3.6 и 3.8 Положения № 716-П, при этом в соответствии с пунктом 3.7 Положения № 716-П кредитная организация вправе разработать дополнительную детализированную классификацию типов событий, наиболее точно отражающую специфику данного нефинансового риска, в рамках последующих уровней классификатора, предусмотренного главой 3 Положения № 716-П. Такая унификация необходима для того, чтобы потери от данных событий нефинансовых рисков, переданных в базу событий операционного риска, были корректно отражены в соответствующих графах отчетности по форме 0490106 «Отчет по управлению операционным риском в кредитной организации».

Одновременно сообщаем, что в случае регистрации событий нефинансовых рисков, связанных с риском информационной безопасности, в соответствии с пунктом 7.6 Положения № 716-П кредитная организация определяет элементы классификации, в том числе, в соответствии с приложением 5 к Положению № 716-П.