№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

О ролях в системе управления операционным риском (часть 4)

Вопрос

1. Какого рода конфликты интересов возникают в случае назначения одного и того же подразделения кредитной организации (головной кредитной организации) (далее – кредитная организация) специализированным подразделением в соответствии с абзацем седьмым пункта 1.3 Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П) и центром компетенций в соответствии с абзацем восьмым пункта 1.3 Положения № 716-П?

2. Как квалифицировать статус Службы информационной безопасности в контексте выполнения процедур управления риском информационной безопасности, как специализированного подразделения или центра компетенций, или одновременно специализированного подразделения и центра компетенций? Существует ли конфликт интересов в случае, если Служба информационной безопасности является одновременно специализированным подразделением и центром компетенций?

3. В какой роли (специализированное подразделение, центр компетенций или владелец процесса) Служба информационной безопасности и подразделение, ответственное за обеспечение функционирования информационных систем, кредитной организации будут участвовать в выполнении следующих процедур: (А) самооценка; (Б) сбор информации о событиях рисков ИБ/ИТ; (В) сценарный анализ?

4. Вправе ли кредитная организация, исходя из характера и масштабов своей деятельности, определить в качестве специализированного подразделения Службу внутреннего контроля кредитной организации и возложить на нее выполнение отдельных процедур управления операционным риском, указанных в подпунктах 2.1.2, 2.1.6, 2.1.7 пункта 2.1 Положения № 716-П, в части видов операционного риска, указанных в пункте 1.4 Положения № 716-П.

5. Какие существуют ограничения при назначении кредитной организацией должностных лиц в соответствии с требованиями пунктов 7.7 и 8.3 Положения № 716-П?

Ответ

По вопросу 1.

В случае если подразделение кредитной организации одновременно является как специализированным подразделением в соответствии с абзацем седьмым пункта 1.3 Положения № 716-П, так и центром компетенций в соответствии с абзацем восьмым пункта 1.3 Положения № 716-П, следует распределить функциональные обязанности работников данного структурного подразделения таким образом, чтобы избежать возникновения конфликта интересов. Обращаем внимание, что под конфликтом интересов в данном случае понимается наделение одного работника кредитной организации как обязанностями, связанными с выполнением процедур управления операционным риском, указанными в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения № 716-П, в части управления отдельным видом операционного риска, так и бизнес-функциями по осуществлению операций и сделок в рамках своих бизнес-процессов. Например, в случае если управление правовым риском кредитной организации в соответствии с внутренними документами кредитной организации относится к компетенции Юридической службы, работник данного подразделения, в чью зону ответственности относится выполнение вышеуказанных процедур управления операционным риском, не может быть назначен ответственным за проведение правовой экспертизы договоров, заключаемых кредитной организацией с клиентами или другими третьими сторонами.

По вопросу 2.

В случае если кредитной организацией принято решение о выполнении процедур управления операционным риском, указанных в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения № 716-П, в части риска информационной безопасности, Службой информационной безопасности (или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности), данное подразделение следует считать специализированным подразделением по управлению риском информационной безопасности. В то же время Служба информационной безопасности в соответствии с пунктом 7.9 Положения № 716-П выполняет функции по обеспечению информационной безопасности, поэтому в целях исключения возникновения конфликта интересов работники Службы информационной безопасности, выполняющие функции по управлению риском информационной безопасности не должны быть ответственными за выполнение технических функций по обеспечению информационной безопасности и контролю за соблюдением требований к обеспечению информационной безопасности в кредитной организации.

По вопросу 3.

Комментарии относительно вопроса исключения конфликта интересов в рамках деятельности подразделения, ответственного за обеспечение информационной безопасности, изложены в ответе на вопрос № 1. Аналогичный подход следует распространить на деятельность подразделения, ответственного за обеспечение функционирования информационных систем, разделив функционал его работников таким образом, чтобы к компетенции работников, ответственных за выполнение процедур по управлению риском информационных систем, указанных в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения № 716-П, не относились обязанности по обеспечению функционирования информационных систем кредитной организации.

Дополнительно сообщаем, что распределение обязанностей по выполнению процедур управления операционным риском, указанных в вопросе третьем письма № 1 в части рисков информационной безопасности и информационных систем также следует осуществлять в соответствии с вышеуказанным подходом к исключению конфликта интересов.

По вопросу 4.

Кредитная организация в зависимости от характера и масштабов деятельности, организационной структуры управления, организации внутренних процессов принятия решений и распределения полномочий вправе самостоятельно определить специализированное подразделение, например, службу внутреннего контроля, или несколько подразделений, ответственное (ответственных) за управление отдельными видами операционного риска.

При этом в соответствии с абзацем седьмым пункта 1.3 Положения № 716-П в случае если специализированное подразделение (например, служба внутреннего контроля) организационно независимо от службы управления рисками кредитной организации, кредитная организация с учетом подпункта 4.1.3 пункта 4.1 Положения № 716-П определяет во внутренних документах соблюдение процедур управления операционным риском, обмен информации, предоставление отчетности и другие элементы взаимодействия между службой управления рисками и специализированным подразделением.

Обращаем внимание, что в соответствии с требованиями Положения № 716-П кредитная организация вправе не назначать специализированные подразделения по управлению отдельными видами операционного риска. В данном случае в соответствии с абзацем двенадцатым пункта 1.4 Положения № 716-П процедуры управления отдельными видами операционного риска должны выполняться подразделением, ответственным за организацию управления операционным риском, в составе службы управления рисками.

Дополнительные комментарии Банка России относительно специализированных подразделений размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» «О видах операционного риска» (вопрос № 2), «О видах операционного риска (часть 2)» (вопрос № 2), «Об элементах системы управления операционным риском (часть 2)» (вопрос № 2), «О видах операционного риска (часть 5)» (вопрос № 1).

По вопросу 5.

В соответствии с абзацем пятым пункта 7.7 Положения № 716-П в кредитной организации должно быть определено должностное лицо (лицо, его замещающее), ответственное за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующее в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем. Одновременно в соответствии с абзацем третьим пункта 8.3 Положения № 716-П в кредитной организации должно быть определено должностное лицо (лицо, его замещающее), ответственное за обеспечение функционирования информационных систем кредитной организации и координацию деятельности подразделения(подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем. Согласно подпункту 8.8.10 пункта 8.8 Положения № 716-П коллегиальный исполнительный орган кредитной организации определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации, включая его полномочия и требования к его квалификации.

Вышеуказанные должностные лица должны быть назначены кредитной организации из числа работников кредитной организации.

Дополнительные комментарии Банка России относительно порядка назначения должностных лиц кредитной организации размещены на официальном сайте Банка России в следующих разделах: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» «Об управлении риском информационной безопасности» (вопросы № 1, 2), «Об управлении риском информационных систем», «Об управлении риском информационной безопасности (часть 2)» (вопросы № 1, 2, 4, 5), «Об управлении риском информационных систем (часть 3)» (вопрос № 1).