№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

1. Следует ли отражать косвенную потерю, если комиссия изначально не начислялась и не взималась с клиента по причине ошибки на стороне кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), после обнаружения ошибки комиссия была отражена на счетах бухгалтерского учета по методу начисления, а далее списана, как просроченная задолженность без предъявления клиенту? Является ли налог, уплаченный кредитной организацией на комиссии, которые она не взимала вследствие ошибки, последствием события операционного риска?

2. Следует ли отражать косвенную потерю, если происходит начисление комиссий в одном отчетном периоде и списание за счет расходов в последующих отчетных периодах (например, клиент закрыл договор эквайрингового обслуживания в 2020 году, но по ошибке сотрудника комиссия продолжала начисляться, в 2021 году выявлена ошибка и произошло списание сумм комиссии за счет расходов банка 2021 года)?

3. Обязан ли банк с базовой лицензией регистрировать в базе событий события операционного риска с непрямыми потерями?

4. Является ли возврат ошибочно списанных комиссий с клиента кредитной организации посредством проведения исправительной записи в бухгалтерском учете прямой потерей кредитной организации, или событие, связанное с ошибочным списанием комиссии с клиента и ее последующим возвратом посредством проведения исправительной записи в бухгалтерском учете, необходимо классифицировать как событие с потенциальными потерями?

от 17.05.2022 № 716-P-2022/75

По вопросу 1.

Из приведенного описания следует, что в кредитной организации был реализован источник операционного риска в соответствии с пунктом 3.3 Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П) (ошибка на стороне кредитной организации), в результате которого в кредитной организации произошло событие операционного риска с косвенной потерей в сумме недополученного дохода, указанного в абзаце третьем подпункта 3.13.1 пункта 3.13 Положения № 716-П и равного величине ошибочно не полученного ранее с клиента комиссионного вознаграждения. Налог, уплаченный кредитной организацией на комиссии, которые не были ранее удержаны с клиента вследствие ошибки со стороны кредитной организации, не является потерей и следствием от реализации события операционного риска, так как его уплата связана с особенностями формирования налогооблагаемой базы в соответствии с налоговым законодательством и не связана с источниками операционного риска, указанными в пункте 3.3 Положения № 716-П. В связи с чем следует рассматривать налоги как текущие платежи в рамках бизнес-процесса налогового администрирования.

По вопросу 2.

Приведенное описание примера относится к событию операционного риска с потенциальными потерями, поскольку излишне начисленную сумму комиссии можно рассматривать как потенциальный доход кредитной организации, полученный в результате реализации события операционного риска, состоящего в ошибке сотрудника. Рекомендуем регистрировать указанные события операционного риска в базе событий в случаях фактического возврата кредитной организацией клиенту излишне списанных сумм комиссий после их выявления (например, по результатам сверки данных по удерживаемым комиссиям), поскольку такие возвраты проводятся в бухгалтерском учете путем дебетования счета расходов, что является критерием признания их как прямой потери. При этом рекомендуем при регистрации таких событий о возврате комиссий заносить в базу событий информацию о ранее излишне полученных комиссиях на счета доходов в качестве полученного ранее возмещения. Одновременно обращаем внимание на возможность группировки событий операционного риска подобного характера в одну запись согласно критериям их однородности, определяемым Банком в соответствии с пунктом 6.12 Положения № 716-П.

Комментарии Банка России по вопросу регистрации в базе событий информации о получении кредитной организацией прибыли вследствие реализации источников операционного риска, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ведении базы событий (часть 4)» (вопрос 26).

По вопросу 3.

В соответствии с абзацем третьим подпункта 9.3.1 пункта 9.3 Положения № 716-П банк с базовой лицензией в обязательном порядке с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 Положения № 716-П.

Таким образом, необходимость регистрации событий операционного риска с иными видами потерь (например, качественными, косвенными потерями) кредитная организация с базовой лицензией вправе определить самостоятельно исходя из характера и масштаба своей деятельности, уровня операционного риска (например, определить обязательность регистрации данных видов потерь для критически важных процессов, играющих ключевую роль в деятельности кредитной организации, по которым имеются технологии выявления и оценки таких потерь (например, автоматизированный документооборот в рамках выполнения данного процесса), для цели последующего накопления статистики и установлениях ключевых индикаторов риска (далее – КИР) в рамках проведения процедуры мониторинга (то есть контроля и ограничения) операционного риска на данном бизнес-процессе в соответствии с подпунктом 2.1.7 пункта 2.1 Положения № 716-П

Дополнительные комментарии Банка России по вопросам необходимости регистрации событий операционного риска с потенциальными потерями в базе событий размещены на сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ведении базы событий (часть 2), вопрос 9».

По вопросу 4.

Событие операционного риска, связанное с возвратом ошибочно списанных комиссий с клиента кредитной организации посредством исправительной проводки следует рассматривать как событие операционного риска с потенциальными потерями, в случае если данная ошибка была скорректирована кредитной организацией до учета излишне списанной комиссии в прибыли кредитной организации в рамках утвержденной годовой бухгалтерской (финансовой) отчетности. В случае если данная ошибка была устранена после утверждения годовой финансовой отчетности, предлагаем учитывать ее в базе событий как прямую потерю от реализации событий операционного риска, при этом в данном случае датой учета потери в соответствии с абзацем тридцатым пункта 6.6 Положения № 716-П следует считать дату отражения в бухгалтерском учете возврата клиенту ошибочно списанной комиссии.

Обращаем внимание, что в случае если излишнее взимание комиссии с клиентов кредитной организацией имеет системный характер, являющийся следствием внутренних характеристик продукта, особенностей настроек в системе взимания данных комиссий и условий договоров, потери от данного события следует относить к риску потерь средств клиентов, контрагентов, работников и третьих лиц вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг в соответствии с абзацем девятым пункта 1.4 Положения № 716-П.  

Печать

1. Является ли обесценение активов и формирование резервов вследствие реализации странового и/или геополитического рисков (например, из-за введения санкций и ограничений иностранными государствами) потерями от операционного риска? Нужно ли при наступлении таких потерь регистрировать событие операционного риска?

2. Являются ли ущерб материальных активов (например, уничтожение или потеря потребительских свойств) кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), вызванный военными действиями, потерями от операционного риска и требуется ли регистрация таких событий в базе событий в соответствии с подпунктом 3.6.5 пункта 3.6 Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П)?

3. Подлежит ли регистрации в базе событий как событие операционного риска возврат комиссий, пеней, штрафов и неустоек за расчетно-кассовое обслуживание и пользование кредитными продуктами, предусмотренные тарифами кредитной организации, если он не вызван источниками операционного риска и компенсирован в рамках проявления лояльности к клиентам?

4. Что понимается под верификацией корректности исправления записи в базе событий в соответствии с пунктом 6.20 Положения № 716-П? С какой периодичностью следует осуществлять указанную верификацию? Следует ли осуществлять верификацию всех внесенных изменений и дополнений, либо допускается осуществлять верификацию изменений и дополнений на выборочной основе? Какое подразделение кредитной организации должно осуществлять указанную верификацию?

5. Вправе ли кредитная организация, являющаяся банком с универсальной лицензией, размер активов которого составляет менее 500 млрд руб., не регистрировать в базе событий события, не повлекшие прямые, косвенные или потенциальные потери или повлекшие потери ниже порога регистрации, вне зависимости от типа событий операционного риска или величины потенциальных потерь?

6. Просьба пояснить правила отражения в базе событий потерь от реализации события операционного риска и возмещения по нему в случае, если они произошли в разные годы?

7. В случае если в отчетном периоде (например, в 2021 году) была реализована потеря по событию операционного риска, реализованному в предыдущем отчетном периоде (например, в 2020 году), и которое не было зарегистрировано в базе событий по причине величины потерь, не достигшей минимально установленного кредитной организацией порога регистрации, каким образом следует регистрировать в базе событий в данное событие операционного риска?

8. Обязана ли кредитная организация переносить данные о событиях операционного риска за годы, предшествующие 2022 году, в автоматизированную систему?

9. В случае если по терминалу клиента кредитной организации не зачислился платеж по технической причине, при этом кредитная организация в течение трех дней устранила данную ошибку и необходимая сумма была зачислена, следует ли регистрировать данное событие в базе событий?

10. Подлежит ли регистрации как событие операционного риска событие, при котором клиент кредитной организации понес потери в результате обналичивания денежных средств посредством банкомата сторонней кредитной организации (например, недополучил запрашиваемую сумму по причине сбоя банкомата, а деньги с карты были списаны) и за компенсацией потерь обратился к эмитенту карты?

от 17.05.2022 № 716-P-2022/64

По вопросу 1.

Потери кредитной организации, связанные с обесценением активов и начислением резервов вследствие введения санкций и ограничений иностранными государствами, следует относить к потерям от реализации странового и (или) геополитического рисков. В связи с тем, что их реализация не связана с источниками операционного риска, указанными в пункте 3.3 Положения № 716-П, данные потери не следует относить к потерям от операционного риска и регистрировать в базе событий.

По вопросу 2.

В случае если материальным активам кредитной организации нанесен ущерб (например, уничтожение или потеря потребительских свойств) вследствие военных действий, данные потери следует относить к событиям операционного риска, которые подлежат регистрации в базе событий с указанием источника операционного риска «Внешние причины», в соответствии с подпунктом 3.3.4 пункта 3.3 Положения № 716-П, и типа события «Ущерб материальным активам», в соответствии с подпунктом 3.6.5 пункта 3.6 Положения № 716-П.

По вопросу 3.

Возврат денежных средств клиенту при отсутствии источников операционного риска в возникновении оснований для возврата данных средств не является событием операционного риска (в случае, если правила процедуры возврата денежных средств клиенту установлены во внутренних документах и соблюдены все условия ее реализации). Например, в случае если возврат денежных средств клиенту предусмотрен особенностями действующего продукта и (или) процесса, то указанное событие не является событием операционного риска. При этом в случае, если возврат денежных средств клиенту произошел после предшествующего ему сбоя информационных систем, допущенных ошибок в алгоритме работы информационных систем и (или) работника кредитной организации, данный возврат средств нужно признавать событием операционного риска и регистрировать в базе событий.

По вопросу 4.

Под верификацией корректности исправления записи в базе событий понимается регулярная проверка уполномоченным работником кредитной организации наличия необходимой информации базе событий в соответствии с пунктом 6.20 Положения № 716-П, а также наличия соответствующих обоснований для всех корректировок, вносимых в базу событий. Обращаем внимание, что в соответствии с Положением № 716-П кредитная организация вправе самостоятельно определять во внутренних документах периодичность и порядок проведения вышеуказанной верификации. Рекомендуем осуществлять данную верификацию на ежеквартальной основе перед подготовкой отчетов, указанных в подпункте 4.2.2 пункта 4.2 Положения № 716-П, а также перед отправкой регуляторной отчетности по операционному риску в Банк России.

По вопросу 5.

Кредитная организация устанавливает во внутренних документах величину прямых и непрямых потерь от реализации события операционного риска, при которой кредитная организация регистрирует событие операционного риска в базе событий (далее – порог регистрации).

Порог регистрации устанавливается кредитной организацией в зависимости от величины потерь и типа событий операционного риска:

для событий операционного риска, относящихся к типам событий операционного риска «преднамеренные действия персонала» и «преднамеренные действия третьих лиц», указанным в подпунктах 3.6.1 и 3.6.2 пункта 3.6 Положения № 716?П, (далее – типы событий операционного риска «преднамеренные действия персонала» и «преднамеренные действия третьих лиц») порог регистрации в базе событий не устанавливается, и кредитная организация регистрирует все события операционного риска, относящиеся к данным типам событий операционного риска, в базе событий;

для событий операционного риска, потери по которым относятся к потерям (в том числе хищениям) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией, (определены в абзаце втором подпункта 3.13.3 пункта 3.13 Положения № 716 П) (далее – потери средств клиентов, контрагентов, работников и третьих лиц, не компенсированные кредитной организацией), порог регистрации в базе событий не устанавливается, и кредитная организация регистрирует все события операционного риска с указанными потерями в базе событий;

для других типов событий операционного риска, потери по которым относятся к прямым и непрямым потерям, за исключением потерь средств клиентов, контрагентов, работников и третьих лиц, не компенсированных кредитной организацией, порог регистрации в базе событий составляет не более 20 тыс. руб. При этом кредитная организация вправе установить порог регистрации менее 20 тыс. руб. и регистрировать в базе событий все события операционного риска.

С учетом вышеизложенного, кредитная организация, которая в соответствии с пунктом 9.2 Положения № 716-П является банком с универсальной лицензией, размер активов которого составляет менее 500 млрд руб., в соответствии с подпунктом 9.2.1 пункта 9.2 Положения № 716-П в обязательном порядке регистрирует в базе событий с учетом порога регистрации события операционного риска с прямыми и (или) косвенными потерями, а также все события операционного риска с потерями средств клиентов, контрагентов, работников и третьих лиц, не компенсированными кредитной организацией, и все события операционного риска, относящиеся к типам событий операционного риска «преднамеренные действия персонала» и «преднамеренные действия третьих лиц». Регистрация событий операционного риска с качественными потерями и другими потенциальными потерями, указанными в абзаце третьем подпункта 3.13.3 пункта 3.13 Положения № 716-П, осуществляется по решению, принятому в кредитной организации. В случае если в кредитной организации принято решение о регистрации событий операционного риска с качественными потерями и реализованное событие операционного риска привело только к качественным потерям, оценка значимости которых в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 Положения № 716-П соотносится с уровнем «средние» или «низкие», кредитная организация определяет во внутренних документах требования к регистрации таких событий операционного риска в базе событий.

Дополнительные комментарии Банка России по вопросу определения порога регистрации размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ведении базы событий (часть 2)» (абзац первый ответа на вопрос № 10), «О ведении базы событий (часть 3)» (вопрос № 4).

Одновременно сообщаем, что дополнительные комментарии Банка России по вопросу необходимости регистрации событий операционного риска, не повлекших потерь для кредитной организации, размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ведении базы событий (часть 4)» (вопросы № 30, № 33).

По вопросу 6.

В соответствии с абзацем девятым подпункта 2.1.2 пункта 2.1 Положения № 716-П кредитная организация должна обеспечивать обновление информации о событиях операционного риска в базе событий, включая информацию о суммах потерь и возмещений, по мере ее поступления, вне зависимости от периода учета, при условии обеспечения сохранности предыдущих значений в соответствии с требованиями пункта 6.19 Положения № 716-П.

Статус «оценка потерь от реализации события операционного риска завершена» присваивается событию операционного риска в том случае, когда кредитная организация признает, что новых потерь (как прямых, так и косвенных) не возникнет и не ожидается получение возмещений по этому событию операционного риска. В случае невозможности определения суммы потерь по событию операционного риска на момент регистрации события операционного риска в базе событий должен указываться статус «оценка потерь от реализации события операционного риска не завершена».

В случае если потери от реализации операционного риска или возмещения по ним отражены на счетах бухгалтерского учета в разные отчетные периоды, кредитной организации следует регистрировать в базе событий данные потери и (или) возмещения в рамках одного события операционного риска, не создавая новую отдельную запись в базе событий по тому же событию операционного риска.

По вопросу 7.

Кредитной организации следует регистрировать событие операционного риска в базе событий в случае, если сумма потерь по нему достигает порога регистрации, установленного кредитной организацией во внутренних документах, при этом в соответствии с абзацами тридцатым и тридцать первым пункта 6.6 Положения № 716-П кредитная организация обязана в базе событий указывать дату учета потери: в случае прямой потери – дату отражения потери от реализации события операционного риска на счетах бухгалтерского учета, а также информацию о бухгалтерской записи (бухгалтерских записях) в бухгалтерском учете, содержащей суммы прямой потери, а в случае непрямой потери – дату регистрации события в базе событий.

По вопросу 8.

Положением № 716-П не установлено требование о переносе событий операционного риска за годы, предшествующие 2022 году, в автоматизированную систему. Кредитная организация вправе самостоятельно принять соответствующее решение. При этом обращаем внимание, что если кредитная организация примет решение о применении расчетной величины коэффициента внутренних потерь для расчета размера операционного риска в соответствии с Положением Банка России от 07.12.2020 № 744-П «О порядке расчета размера операционного риска («Базель III») и осуществления Банком России надзора за его соблюдением», то база событий данной кредитной организации должна содержать данные о прямых потерях от реализации событий операционного риска, как минимум за 5 последних лет до даты начала расчетного года.

По вопросу 9.

В случае если в связи с задержкой платежа кредитная организация нарушает сроки, указанные в договорных обязательствах перед клиентом, что может повлечь за собой претензию со стороны клиента и выплату ему соответствующей компенсации, представленный пример является событием операционного риска, который подлежит регистрации в базе событий с учетом порога регистрации и требований главы 9 Положения № 716-П. В случае если задержка платежа была устранена в сроки, которые не влекут нарушения кредитной организацией договорный отношений с клиентом, кредитная организация вправе самостоятельно определить необходимость регистрации вышеуказанного инцидента в базе событий с указанием вида качественной потери «снижение качества предоставления услуг, выполнения операций» в соответствии с абзацем седьмым подпункта 3.12.2 пункта 3.12 Положения № 716-П, для цели введения соответствующего КИР, контролирующего количество таких сбоев, и последующего его мониторинга в соответствии с подпунктом 2.1.7 пункта 2.1 Положения № 716-П.

По вопросу 10.

Представленный в описании пример не признается событием операционного риска (так как произошел вне операционной среды и (или) оборудования кредитной организации) в случае если данный вид компенсации предусмотрен особенностями действующего продукта и (или) процесса (например, указан в каталоге типовых расходных операций по данному продукту).

Печать

от 30.09.2021 № 716-P-2021/44

В соответствии с пунктом 1.4 Положения № 716-П риск информационной безопасности (далее – риск ИБ) и риск информационных систем (далее – риск ИС) являются видами операционного риска, и, следовательно, управление данными видами риска должно осуществляться не обособлено, а в рамках СУОР, в тесном взаимодействии со службой управления рисками кредитной организации и в соответствии требованиями и процедурами, указанными в Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П).

Кредитная организация в соответствии с пунктом 6.9 Положения № 716-П вправе вести учет событий риска ИБ и риска ИС как в составе базе событий операционного риска (консолидировано), так и раздельно. В случае если кредитная организация ведет отдельные базы событий по риску ИБ и риску ИС, в данной кредитной организации должен быть разработан порядок интеграции информации, содержащейся в вышеуказанных базах событий, с базой событий операционного риска. В том числе кредитной организацией во внутренних документах должно быть определено следующее:

порядок взаимодействия подразделения, ответственного за организацию управления операционным риском, со службой информационной безопасности и с подразделением (подразделениями), ответственным (ответственными) за обеспечение функционирования информационных систем, по вопросам передачи информации о событиях риска ИБ и риска ИС, как минимум по передаче информации о событиях риска ИБ и риска ИС с прямыми потерями, расследования обстоятельств данных событий и разработки мероприятий, направленных на повышение эффективности управления данными рисками и уменьшение их негативного влияния;

перечень лиц, ответственных за ведение базы событий по риску ИБ и риску ИС, в том числе за своевременную передачу информации о событиях данных видов операционного риска в подразделение, ответственное за организацию управления операционным риском, для включения их базу событий операционного риска;

сроки и формат передачи данных о событиях риска ИБ и риска ИС в целях регистрации в базе событий операционного риска, с учетом требований пункта 6.10 Положения № 716-П.

В силу специфики процедур управления риском информационной безопасности Банк России рекомендует обратить особое внимание на подходы к дополнительной классификации риска информационной безопасности, указанные в приложении 5 к Положению № 716-П, в разрезе типов событий, категорий источников операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов. Также в соответствии с приложением 5 к Положению № 716-П кредитная организация обязана использовать дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 Положения № 716-П. Кроме того, дополнительная классификация событий риска ИБ, указанная в приложении 5 Положения № 716-П, не заменяет основную классификацию событий операционного риска, указанную в главе 3 Положения № 716-П. Событие риска ИБ сначала должно быть классифицировано в соответствии с требованиями главы 3 Положения 716-П, в том числе по типам событий операционного риска, перечисленным в пункте 3.6 Положения 716-П, и уже в разрезе элементов классификации дополнительно классифицировано, в соответствии с приложением 5 к Положению № 716-П.

Обращаем внимание, что в случае если для кредитной организации (исходя из вида лицензии и масштаба деятельности) в соответствии с требованиями главы 9 Положения № 716-П процедура регистрации в базе событий операционного риска (в том числе риска ИБ и риска ИС), по которым отсутствуют прямые и непрямые потери, носит рекомендательный характер. Банк России рекомендует кредитной организации как для внутренних целей (например, определений КИР), так и для целей соблюдения иных нормативных актов Банка России самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, событий риска информационной безопасности) и (или) типам событий, и (или) отдельным процессам, которые были предотвращены и которые не привели как к прямым, так и непрямым потерям.

При разработке и утверждении перечня контрольных показателей уровня операционного риска в соответствии с требованиями главы 5 Положения № 716-П необходимо учитывать, что данный перечень должен содержать контрольные показатели уровня риска ИБ, указанные в пункте 1.2 приложения 1 к Положению № 716-П. В соответствии с абзацем седьмым подпункта 7.9.2 пункта 7.9 Положения № 716-П служба информационной безопасности обязана осуществлять мониторинг сигнальных и контрольных значений контрольных показателей уровня риска ИБ. Рекомендуем кредитной организации обеспечить организацию информационного обмена между соответствующими подразделениями кредитной организации и информационными системами в целях передачи службой информационной безопасности результатов мониторинга текущих (то есть фактических на расчетную дату), сигнальных и контрольных значений контрольных показателей уровня риска ИБ в службу управления рисками для формирования внутренних отчетов по управлению операционным риском в соответствии с пунктом 4.2 Положения Банка России № 416-П.

Обращаем внимание, что требования пункта 4.2 Положения № 716?П к формированию отчетов по операционному риску распространяются также на отчеты по риску ИБ и риску ИС, в том числе:

требование о необходимости ежедневной передачи информации о крупных событиях риск ИБ и риска ИС в службу управления рисками кредитной организации, в соответствии с подпунктом 4.2.1 пункта 4.2 Положения № 716-П;

требования к формированию ежеквартальных и ежегодных отчетов в соответствии с подпунктами 4.2.2 и 4.2.3 пункта 4.2 Положения № 716-П.

Печать

1. Правильно ли небанковская кредитная организация (далее – НКО) понимает, что пункты (абзацы, подпункты, главы, приложения), не перечисленные в пункте 9.4 Положения Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П), не являются обязательными для выполнения НКО, в том числе если ссылки на них содержатся в каком-либо пункте, указанном в пункте 9.4 Положения № 716-П?

2. Правильно ли НКО понимает, что в соответствии с требованиями пункта 9.4 Положения № 716-П проведение ежегодной самооценки уровня операционного риска и форм (способов) контроля, направленных на снижение его уровня, на основе формализованных анкет в соответствии с требованиями абзацев восьмого – тринадцатого подпункта 2.1.5 пункта 2.1 Положения № 716-П, не являются обязательными для НКО?

3. Требуется подтвердить мнение, что под плановыми (целевыми) показателями уровня операционного риска, указанными в пункте 4.5 Положения № 716-П, понимаются лимиты по принятию решений в отношении операционного риска.

Просьба пояснить, что понимается под агрегированной оценкой уровня операционного риска?

4. Возможно ли считать ключевые индикаторы операционного риска (далее – КИР) лимитами риска?

от 17.09.2021 № 716-P-2021/32

1. В соответствии с Положением № 716-П кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация), которая на начало текущего отчетного года является НКО, обязана соблюдать требования, изложенные в пункте 9.4 Положения № 716?П, с учетом ссылок на иные нормы Положения № 716-П, содержащихся в них, так как в них содержится детализация и особенности применения требований, изложенных в пунктах с данными ссылками.

2. Кредитная организация, которая на начало текущего отчетного года является НКО, в целях выполнения процедуры идентификации операционного риска с учетом пункта 9.4 Положения № 716-П обязана соблюдать требования абзаца первого и второго подпункта 2.1.1 пункта 2.1 Положения № 716-П, а именно проведения в обязательном порядке анализа базы событий. В то же время НКО вправе не соблюдать иные требования подпункта 2.1.1 пункта 2.1 Положения № 716-П (например, по проведению самооценки операционного риска в качестве способа идентификации операционного риска).

Обращаем внимание, что НКО с учетом масштаба и характера деятельности вправе самостоятельно определить во внутренних документах дополнительные способы идентификации операционного риска, указанные в подпункте 2.1.1 пункта 2.1 Положения № 716-П, в разрезе отдельных процессов в зависимости от уровня их критичности для деятельности НКО.

3. В отношении плановых (целевых) показателей уровня операционного риска мнение подтверждаем.

Агрегированная оценка уровня операционного риска является оценкой получения ею непредвиденных потерь с определенной доверительной вероятностью и осуществляется кредитной организацией на основании методики, разработанной кредитной организацией исходя из характера и масштаба ее деятельности, с учетом требований абзаца второго подпункта 2.1.4 пункта 2.1 Положения № 716-П. Например, кредитная организация может в качестве методики оценки непредвиденных потерь от реализации операционного риска применять методику расчета величины операционного риска, установленную в применяемой кредитной организацией нормативных актах Банка России, например, в Положении Банка России от 7 декабря 2020 года № 744-П «О порядке расчета размера операционного риска («Базель III») и осуществления Банком России надзора за его соблюдением» (в этом случае в качестве агрегированной оценки уровня операционного риска кредитная организация может принять величину операционного риска, рассчитанную в соответствии с применяемым нормативным актом Банка России по расчету величины операционного риска).

В соответствии с абзацем вторым подпункта 2.1.4 пункта 2.1 Положения № 716-П кредитная организация для расчета агрегированной оценки уровня операционного риска вправе использовать иные количественные методы, применяемые в международной практике. В этом случае, целью агрегированной оценки уровня операционного риска является сопоставление достигнутых (фактических) и прогнозных значений количественных показателей уровня операционного риска, рассчитанных на основе анализа статистики количества событий операционного риска и потерь от их реализации, определенных кредитной организацией в базе событий, с установленным кредитной организацией пороговым значением уровня операционного риска, соответствующему принятой доверительной вероятности и с учетом возможности реализации с данной доверительной вероятностью части потенциальных потерь в виде прямых потерь.

При определении количественных показателей для целей агрегированной оценки уровня операционного риска, кредитная организация вправе использовать показатели, рассчитываемые для целей составления внутренних отчетов по операционному риску в соответствии с пунктом 4.2 Положения № 716-П.

4. КИР не являются лимитами риска. К указанным лимитам операционного риска могут быть отнесены плановые (целевые) показатели уровня операционных рисков, соотнесенных с плановыми (целевыми) объемами операций, подверженных операционным рискам, приведенных в пункте 4.5 Положения № 716-П.

Печать

1. Устанавливает ли Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение Банка России № 716-П) требование для банка с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, идентифицировать операционный риск способом анализа динамики ключевых индикаторов риска (далее – КИР), устанавливать и осуществлять мониторинг КИР, определять во внутренних документах требования к КИР и к их документированию?

2. Может ли кредитная организация (головная кредитная организация) (далее – кредитная организация) использовать контрольные показатели уровня операционного риска в качестве КИР?

3. Устанавливает ли Положение Банка России № 716-П требование для банка с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, не использующий методы оценки величины риска и общей потребности в капитале, отличные от установленных Банком России в соответствии с пунктом 5.1 Указания Банка России от 15 апреля 2015 № 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы» (далее – Указание Банка России № 3624-У), проводить качественную оценку уровня операционного риска с применением сценарного анализа операционного риска?

4. Устанавливает ли Положение Банка России № 716-П требование для банка с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, не использующий методы оценки величины риска и общей потребности в капитале, отличные от установленных Банком России в соответствии с пунктом 5.1 Указания Банка России № 3624-У, проводить стресс-тестирование операционного риска и зависит ли данная обязанность от признания операционного риска значимым в отчетном периоде?

5. Может ли банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, не использующий методы оценки величины риска и общей потребности в капитале, отличные от установленных Банком России в соответствии с пунктом 5.1 Указания Банка России № 3624-У, не использовать другие способы управления операционным риском из указанных в пункте 2.1 Положения Банка России № 716-П, в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.2.1 пункта 9.2 Положения Банка России № 716-П?

от 20.10.2020 № 716-P-2020/2

По вопросу 1.

В соответствии с подпунктом 9.2.1 пункта 9.2. Положения Банка России № 716-П банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, обязан соблюдать требования по проведению процедуры мониторинга операционного риска, указанные в подпункте 2.1.7 пункта 2.1 Положения Банка России № 716?П, в том числе способом установления и мониторинга КИР для цели контроля уровня операционного риска путем контроля не превышения текущего значения КИР его порогового значения, установленного в соответствии с абзацем семнадцатым подпункта 2.1.7 пункта 2.1 Положения Банка России № 716?П. При этом банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, вправе не использовать анализ динамики КИР для идентификации операционного риска, указанный в абзаце четвертом подпункта 2.1.1 пункта 2.1 Положения Банка России № 716?П.

По вопросу 2.

В соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России № 716-П кредитные организации обязаны проводить процедуру мониторинга операционного риска, в том числе с помощью установления и мониторинга КИР. Обращаем внимание, что кредитным организациям следует разрабатывать КИР индивидуально для выявленных операционных рисков в разрезе направлений деятельности, в том числе составляющих их бизнес процессов и(или) подразделений, прошедших процедуры качественной и количественной оценки, которые необходимо контролировать для цели мониторинга операционного риска. Кредитная организация самостоятельно устанавливает требования к КИР и к их документированию во внутренних документах кредитной организации в соответствии с абзацами десятым – двадцать первым подпункта 2.1.7 пункта 2.1 Положения Банка России № 716-П, указывая наименования и элементы классификации операционных рисков, которые отслеживают КИР.

Контрольные показатели уровня операционного риска, разрабатываемые в соответствии с приложением 1 к Положению Банка России № 716-П, определяют уровень операционного риска в целом по кредитной организации. Кредитная организация вправе использовать некоторые контрольные показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их бизнес-процессов и (или) подразделений, в качестве КИР для операционных рисков, присущих этим направлениям деятельности, бизнес-процессам и (или) подразделениям, при соблюдении требований, указанных в абзацах десятом – двадцать первом подпункта 2.1.7 пункта 2.1 Положения Банка России № 716-П. В то же время в данном случае состав КИР не должен ограничиваться только контрольными показателями уровня операционного риска.

По вопросу 3.

В соответствии с подпунктом 9.2.1 пункта 9.2 Положения Банка России № 716-П банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, обязан соблюдать требование о проведении сценарного анализа операционных рисков в качестве способа качественной оценки уровня операционного риска, указанное в абзаце четвертом подпункта 2.1.5 пункта 2.1 Положения Банка России № 716-П. В этом случае сценарный анализ уровня операционного риска осуществляется для целей идентификации угроз и негативных последствий реализации операционного риска на уровне процессов кредитной организации, включая выявление недостатков и пробелов в них, разработку мероприятий по их устранению и предотвращению реализации угроз, оценку эффективности (результативности) данных мероприятий, а также качественную оценки уровня операционного риска до и после реализации этих мероприятий путем определение уровня остаточного риска. Указанные процедуры сценарного анализа банк вправе включить в состав процедур стресс-тестирования операционного риска, в случае если банк обязан это делать в соответствии с требованиями иных нормативных актов.

По вопросу 4.

Положение Банка России № 716-П не устанавливает требований к проведению стресс-тестирования операционного риска для целей управления капиталом, необходимого на покрытие потерь от реализации событий операционного риска (в том числе для оценки его достаточности), но при этом устанавливает требования к проведению сценарного анализа для целей качественной оценки операционного риска (безотносительно того, признает ли кредитная организация операционный риск значимым или нет), который кредитная организация вправе включить в состав процедур стресс-тестирования операционного риска, в случае признания его значимым. См. ответ по вопросу 3.

По вопросу 5.

Банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, с учетом масштаба и характера деятельности вправе самостоятельно определить во внутренних документах дополнительные способы управления операционным риском, указанные в пункте 2.1 Положения Банка России № 716-П.

Печать