О применении Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki
Вопросы.
1. Банки с базовой лицензией выполняют требования данного Положения в части, изложенной в п. 9.3.1. Согласно этим требованием на банки с базовой лицензией не распространяется требование установления и мониторинга КИР, изложенное в абзаце 2 п. 2.1.7, т.е. Банк не устанавливает контрольные и сигнальные значения на базовый набор показателей, перечисленных в п.1.1 Приложения №1 к данному положению, а только фиксирует полученные результаты в отношении данных показателей?
2. База событий должна соответствовать требованиям 716-П начиная с 01.01.22г.?
Мнение консультантов.
На основании статьи 57.1 Закона № 86-ФЗ Банк России наделен полномочиями по установлению требований к системам управления рисками и капиталом, внутреннего контроля кредитных организаций. В свою очередь, в силу статьи 11.1-2 Закона № 395-1 кредитная организация (головная кредитная организация банковской группы) обязана соблюдать установленные Банком России требования к системам управления рисками и капиталом, внутреннего контроля кредитной организации.
На текущий момент требования к системе управления операционным риском в кредитной организации и банковской группе установлены Банком России в следующих нормативных документах:
- Указание № 3624-У;
- Положение № 716-П, вступило в силу с 01.10.2020г. (пункт 10.1 Положения № 716-П).
Согласно пункту 4.1 приложения 1 к Указанию № 3624-У, пункту 1.1 Положения № 716-П под операционным риском понимается риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.
В соответствии с пунктом 2.4 Положения № 716-П кредитная организация определяет во внутренних документах, регламентирующих процедуры управления операционным риском, способы их проведения, перечисленные в главе 2, с учетом требований, указанных в главе 9 настоящего Положения. В свою очередь, пунктом 9.3 Положения № 716-П для кредитной организации, которая на начало текущего отчетного года является банком с базовой лицензией, определены следующие обязательные для соблюдения нормы Положения № 716-П (подпункт 9.3.1):
требования глав 1, 3, 5 - 7 и приложений 2, 4, 5;
требования абзацев первого – второго[1] подпункта 2.1.1, абзацев первого, третьего – четырнадцатого[2] подпункта 2.1.2 (при этом банк с базовой лицензией с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями[3], а также потерями, указанными в абзаце втором[4] подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого – третьего подпункта 2.1.4, абзацев первого – двенадцатого подпункта 2.1.6 (в части соблюдения требований абзацев первого – двенадцатого подпункта 2.1.6 пункта 2.1 настоящего Положения банк с базовой лицензией обеспечивает выбор и применение способа реагирования, в том числе принятие мер, направленных на уменьшение негативного влияния операционного риска, только в части реализовавшихся событий операционного риска с прямыми потерями) пункта 2.1, пунктов 2.2 – 2.5 главы 2 настоящего Положения;
требования пунктов 4.1, 4.2, 4.4 – 4.6 главы 4 настоящего Положения;
требования пунктов 8.1 – 8.5, пункта 8.6 (в части выявления риска информационной безопасности), абзацев шестого и седьмого подпункта 8.7.2, абзацев первого, третьего и четвертого подпункта 8.7.3, абзацев первого – восьмого подпункта 8.7.4 пункта 8.7, подпунктов 8.8.1 – 8.8.5, подпунктов 8.8.8 – 8.8.10, подпунктов 8.8.12 – 8.8.13 пункта 8.8 главы 8 настоящего Положения;
требования абзацев второго - восьмого, одиннадцатого подпункта 1.1.1, подпунктов 1.1.2, 1.1.3 и 1.2 пункта 1 приложения 1 к настоящему Положению.
По вопросу 1.
Обязательными для соблюдения кредитными организациями с базовой лицензией нормами Положения № 716-П предусмотрено, в том числе, следующее:
- главой 1 Положения № 716-П определено, что система управления операционным риском в кредитной организации должна включать следующие элементы (пункт 1.3):
процедуры управления операционным риском в соответствии с главой 2 настоящего Положения;
классификатор событий операционного риска, используемый в системе управления операционным риском, в соответствии с главой 3 настоящего Положения;
базу событий;
контрольные показатели уровня операционного риска в соответствии с главой 5 настоящего Положения;
подразделения кредитной организации, ответственные за организацию управления операционным риском, выполняющие процедуры управления операционным риском, осуществляющие в рамках системы управления операционным риском идентификацию операционного риска, сбор информации и информирование о выявленном операционном риске; осуществляющие оценку выявленных операционных рисков, разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах; уполномоченные проводить ежегодную оценку эффективности функционирования системы управления операционным риском;
автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами кредитной организации, обеспечивающую функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий), в том числе сохранность данных и их защиту от искажений;
дополнительные элементы системы управления операционным риском, определенные в соответствии с главой 4 настоящего Положения;
- абзацами одиннадцатым – четырнадцатым подпункта 2.1.2 пункта 2.1 Положения № 716-П определено, что кредитная организация обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:
центров компетенций;
правил предоставления информации об идентифицированных событиях операционного риска центрами компетенций в подразделение, ответственное за организацию управления операционным риском, не позднее пяти рабочих дней с момента идентификации события операционного риска, за исключением событий операционного риска, загружаемых в базу событий программно-аппаратными средствами на определенную кредитной организацией (головной кредитной организацией банковской группы) отчетную дату в соответствии с порядком, указанным кредитной организаций (головной кредитной организацией банковской группы) во внутренних документах, но не реже одного раза в месяц (предоставление информации об идентифицированных событиях операционного риска дочерней кредитной организацией в головную кредитную организацию банковской группы осуществляется в соответствии с пунктом 6.3 настоящего Положения);
контрольных показателей уровня операционного риска, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению в разрезе центров компетенций (ключевых показателей эффективности по выявлению событий операционного риска в процессах), ответственность за несоблюдение которых возложена на центры компетенций (их руководителей)»[5];
- в силу пункта 2.5 Положения № 716-П оценка эффективности выполнения процедур управления операционным риском кредитной организации (головной кредитной организации банковской группы) производится уполномоченным подразделением с учетом требований подпунктов 4.1.4 пункта 4.1, пунктов 4.4, 4.6, 6.12, 6.17, 6.19, 7.11, 8.4, подпункта 8.8.8 пункта 8.8 и главы 9 настоящего Положения и приложения 1 к настоящему Положению;
- главой 5 Положения № 716-П определено, что в целях контроля за уровнем операционного риска кредитная организация определяет во внутренних документах на плановый годовой период в соответствии с приложением 1 к настоящему Положению контрольные показатели уровня операционного риска, а также устанавливает целевые значения этих показателей: значение показателя, при нарушении которого проводится ежедневный мониторинг значений показателя и реализация мер, направленных на устранение превышения фактического значения данного показателя над предельно допустимым значением показателя (далее по тексту - сигнальное значение), и предельно допустимое значение показателя, при нарушении которого информация доводится до совета директоров (наблюдательного совета) и применяются меры реагирования, которые описаны во внутренних документах кредитной организации (головной кредитной организации банковской группы) в соответствии с пунктом 5.4 настоящего Положения (далее - контрольное значение) (пункт 5.1);
- требованиями абзацев второго - восьмого, одиннадцатого подпункта 1.1.1 пункта 1 приложения 1 к Положению № 716-П определены следующие количественные контрольные показатели уровня операционного риска, которые кредитная организация устанавливает во внутренних документах и контролирует их соблюдение:
общая сумма валовых прямых потерь, понесенных кредитной организацией от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за годовой период, к базовому капиталу кредитной организации на последнюю отчетную дату года;
отношение общей суммы чистых (фактических) прямых потерь (включая чистые (фактические) прямые потери от реализации событий риска информационной безопасности), понесенных кредитной организацией за год, к показателю объема операционного риска в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения № 652-П на последнюю отчетную дату (далее по тексту - показатель объема операционного риска);
отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за год, к показателю объема операционного риска;
отношение суммы чистых (фактических) прямых потерь от реализации событий операционного риска, рассчитанных в соответствии с пунктом 6.18 настоящего Положения, понесенных кредитной организацией за год, за вычетом потерь от реализации событий риска информационной безопасности к показателю объема операционного риска;
доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с валовыми прямыми потерями, превышающими порог регистрации (за исключением потерь от реализации событий кредитного риска, связанного с реализацией операционного риска), определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, по отношению ко всем зарегистрированным в базе событий событиям операционного риска с валовыми прямыми потерями (за исключением потерь от реализации кредитного риска), превышающими порог регистрации (за исключением потерь от кредитного риска), за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);
отношение сумм валовых прямых потерь от реализации выявленных в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с прямыми потерями, превышающими порог регистрации (за исключением потерь от реализации событий кредитного риска, связанных с реализацией операционного риска), определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, к общей сумме валовых прямых потерь от реализации всех событий операционного риска, зарегистрированных в базе событий с прямыми потерями (за исключением потерь от реализации событий кредитного риска, связанных с реализацией операционного риска), превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);
другие количественные показатели, определяемые кредитной организацией в стратегии управления рисками и капиталом;
- в силу подпункта 1.1.3 пункта 1 приложения 1 к Положению № 716-П коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет лимиты операционного риска на основе установленных в политике управления операционным риском значений уровней контрольных показателей путем их распределения по направлениям деятельности, в том числе в разрезе составляющих их процессов, подразделениям, видам операционного риска (риск информационной безопасности, риск информационных систем, операционный риск в целом) в соответствии с абзацами вторым - восьмым, одиннадцатым подпункта 1.1.1 настоящего пункта.
Таким образом, в силу требований главы 5 Положения № 716-П банк с базовой лицензией обязан установить во внутренних документах контрольные и сигнальные значения количественных показателей уровня операционного риска, перечисленные в абзацах втором - восьмом, одиннадцатом подпункта 1.1.1 пункта 1 приложения 1 к Положению № 716-П.
Идентификация операционного риска, включающая анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска) (далее по тексту - КИР), по направлениям деятельности, в том числе в разрезе составляющих их процессов, кредитной организации в соответствии с абзацами девятым – двадцатым[6] подпункта 2.1.7 пункта 2.1 Положения № 716-П, установлена абзацем четвертым подпункта 2.1.1 пункта 2.1 Положения № 716-П, не относящегося к числу норм, требования которых являются обязательными для выполнения банками с базовой лицензией. Также, как справедливо замечено Банком, на банки с базовой лицензией не распространяется требование установления и мониторинга КИР, изложенное в абзаце втором подпункта 2.1.7 пункта 2.1 Положения № 716-П.
Согласно абзацу двадцать первому подпункта 2.1.7 пункта 2.1 Положения № 716-П для кредитных организаций (головных кредитных организаций банковской группы), являющихся в соответствии со статьей 3 Закона № 161-ФЗ операторами платежной системы или операторами услуг платежной инфраструктуры, требования к КИР должны быть установлены с учетом требований к определению показателей бесперебойности функционирования платежной системы, установленных в приложении 1 к Положению № 607-П, которые должны рассматриваться в качестве КИР.
На официальном сайте Банка России[7] размещены ответы на типовые вопросы банков, в частности, по Положению № 716-П:
- на вопрос, «может ли кредитная организация (головная кредитная организация) (далее - кредитная организация) использовать контрольные показатели уровня операционного риска в качестве КИР?» (вопрос 2) регулятором указано следующее: «В соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П кредитные организации обязаны проводить процедуру мониторинга операционного риска, в том числе с помощью установления и мониторинга КИР. Обращаем внимание, что кредитным организациям следует разрабатывать КИР индивидуально для выявленных операционных рисков в разрезе направлений деятельности, в том числе составляющих их бизнес-процессов и (или) подразделений, прошедших процедуры качественной и количественной оценки, которые необходимо контролировать для цели мониторинга операционного риска. Кредитная организация самостоятельно устанавливает требования к КИР и к их документированию во внутренних документах кредитной организации в соответствии с абзацами десятым – двадцать первым подпункта 2.1.7 пункта 2.1 Положения Банка России N 716-П, указывая наименования и элементы классификации операционных рисков, которые отслеживают КИР.
Контрольные показатели уровня операционного риска, разрабатываемые в соответствии с приложением 1 к Положению Банка России N 716-П, определяют уровень операционного риска в целом по кредитной организации. Кредитная организация вправе использовать некоторые контрольные показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их бизнес-процессов и (или) подразделений, в качестве КИР для операционных рисков, присущих этим направлениям деятельности, бизнес-процессам и (или) подразделениям, при соблюдении требований, указанных в абзацах десятом – двадцать первом подпункта 2.1.7 пункта 2.1 Положения Банка России N 716-П. В то же время в данном случае состав КИР не должен ограничиваться только контрольными показателями уровня операционного риска»;
- на вопрос «Вправе ли кредитная организация (головная кредитная организация банковской группы) (далее – кредитная организация) осуществлять количественную оценку уровня операционного риска в соответствии с подпунктом 2.1.4 пункта 2.1 Положения № 716-П посредством мониторинга контрольных показателей уровня операционного риска, определяемых кредитной организацией в соответствии с пунктом 5.1 Положения 716-П» регулятором указано, что «Способы проведения кредитной организацией количественной оценки уровня операционного риска изложены в подпункте 2.1.4 пункта 2.1 Положения № 716-П. В соответствии с подпунктом 9.2.1 пункта 9.2 Положения № 716-П банк с универсальной лицензией, размер активов которого составляет менее 500 млрд руб., обязан проводить агрегированную оценку уровня операционного риска в соответствии с требованиями абзаца второго подпункта 2.1.4 пункта 2.1 Положения № 716-П (далее – агрегированная оценка уровня операционного риска), а также оценку объема капитала, выделяемого в рамках внутренних процедур оценки достаточности капитала, на покрытие потерь от реализации событий операционного риска в соответствии с требованиями абзаца третьего подпункта 2.1.4 пункта 2.1 Положения № 716-П и приложения 2 к Положению № 716-П.
Обращаем внимание, что контроль за уровнем операционного риска на основании контрольных показателей уровня операционного риска в соответствии с главой 5 Положения № 716-П является отдельным независимым процессом от процедуры количественной оценки уровня операционного риска. Агрегированная оценка уровня операционного риска осуществляется на основании индивидуальной методики, разработанной кредитной организацией исходя из характера и масштаба ее деятельности, с учетом требований абзаца второго подпункта 2.1.4 пункта 2.1 Положения № 716-П. Целью агрегированной оценки уровня операционного риска является сопоставление показателей уровня операционного риска, определенных кредитной организацией во внутренних документах, с пороговым значением приемлемого для кредитной организации уровня операционного риска, при этом агрегированная оценка уровня операционного иска может быть как фактической, так и прогнозной, с учетом возможности реализации части потенциальных потерь в виде прямых потерь» (ответ от 20.01.2021г. № 716-P-2021/14 по вопросу 3).
Из изложенного следует, что контрольные показатели уровня операционного риска и КИР не являются тождественными, и необязательность выполнения требования установления и мониторинга КИР для банков с базовой лицензией не означает необязательность выполнения требования по установлению контрольных и сигнальных значений показателей уровня операционного риска.
По вопросу 2.
Кредитная организация выявляет случаи фактической реализации операционного риска (далее по тексту - событие операционного риска) в соответствии с главой 2 настоящего Положения, классифицирует события операционного риска в соответствии с главой 3 настоящего Положения и фиксирует события операционного риска в базе событий в соответствии с главой 6 настоящего Положения (пункт 1.2 главы 1 Положения № 716-П).
Понятие «база событий» применяется в значении, установленном в пункте 4.3 приложения 1 к Указанию № 3624-У, как аналитическая база данных о событиях операционного риска и потерях, понесенных вследствие его реализации. База событий ведется в разрезе участников банковской группы, направлений деятельности (структурных подразделений), видов операций (сделок). Порядок ведения и использования базы событий, включая требования к форме и содержанию вводимой информации, порогу регистрации размера потерь, информация о которых подлежит отражению в указанной базе событий, а также порядок учета внешней информации в целях оценки принятого кредитной организацией операционного риска устанавливаются кредитной организацией в соответствии с главой 6 Положения № 716-П в документах кредитной организации, разрабатываемых в рамках реализации внутренних процедур оценки достаточности капитала.
*******************************************
Консультация размещена не полностью.
Полный текст консультации размещен в нашем телеграм-канале https://t.me/knk_banki. Для БЕСПЛАТНОГО получения полного текста также можно обратиться к Андрианову Александру Борисовичу по тел. +7495-775-59-32 доб.106, +7915-329-02-05 или по эпочте ab@knka.ru
****************************************************
[1] «2.1.1. Идентификация операционного риска, включающая следующие способы:
анализ базы событий;»
[2] «2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:
неавтоматизированное выявление и сбор информации о событиях операционного риска, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий операционного риска, в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны. Порядок и срок проведения анализа обстоятельств и причин произошедших событий операционного риска определяется кредитной организацией (головной кредитной организации банковской группы) во внутренних документах;
ввод информации о событиях операционного риска в базу событий по алгоритмизированным правилам, установленным кредитной организацией (головной кредитной организации банковской группы) во внутренних документах;
классификацию выявленных событий операционного риска в соответствии с главой 3 настоящего Положения;
определение потерь от реализации событий операционного риска в соответствии с подпунктом 2.1.3 настоящего пункта;
регистрацию событий операционного риска в базе событий;
определение стоимости возмещений потерь от реализации событий операционного риска в базе событий;
обновление в соответствии с главой 6 настоящего Положения информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации;
актуализацию источников информации о событиях операционного риска и сведений о центрах компетенций, ответственных за их сбор» (абзацы первый и третий - десятый подпункта 2.1.2).
[3] Согласно пункту 3.12 Положения № 716-П прямые потери, отраженные на счетах по учету расходов, убытков в бухгалтерском учете в соответствии с Положением № 446-П, и приравненных к ним счетах по учету дебиторской задолженности, классифицируются кредитной организацией (головной кредитной организацией банковской группы) по следующим видам: снижение (обесценение) стоимости активов; досрочное списание (выбытие, потеря, уничтожение) материальных и нематериальных, финансовых активов в результате реализации события операционного риска; денежные выплаты клиентам и контрагентам в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине третьих лиц; денежные выплаты работникам кредитной организации в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине кредитной организации; потери от ошибочных платежей; расходы (выплаты), связанные с решениями суда и (или) представительством кредитной организации в судах по делам, связанным с потерями от реализации событий операционного риска; штрафы, наложенные исполнительными органами государственной власти и (или) Банком России; расходы на устранение последствий реализации события операционного риска, направленные на восстановление деятельности или на снижение потерь от реализовавшегося события операционного риска; отрицательный финансовый результат от невыгодных для кредитной организации сделок, совершенных по причине операционного риска; прочие потери, связанные с реализацией события операционного риска или устранением последствий события операционного риска.
[4] «потери (в том числе хищение) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией, с учетом положений абзаца восьмого пункта 6.5 настоящего Положения, включая потери средств физических лиц, в том числе индивидуальных предпринимателей, юридических лиц, штрафы, наложенные на должностных лиц кредитной организации;»
[5] Вместе с тем, согласно подпункту 9.3.2 пункта 9.3 Положения № 716-П банк с базовой лицензией вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.3.1 настоящего пункта.
[6] «Кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска.
Кредитная организация (головная кредитная организация банковской группы) во внутренних документах устанавливает требования к КИР и к их документированию, включающие:
количественное измерение КИР;
способы расчета КИР, в том числе с использованием средств автоматизации;
периодичность (не реже одного раза в год) проведения оценки в целях пересмотра КИР для обеспечения поддержания КИР в актуальном состоянии;
регулярность и своевременность расчета КИР с указанием сроков (периода) расчета КИР (например, в постоянном режиме, один раз в неделю, по состоянию на момент закрытия операционного дня);
процедуры валидации значений и данных КИР для проверки корректности расчета;
состав информации, используемой для расчета КИР, и ее источников, включая способ получения информации;
пороговые значения КИР с обоснованием их установления;
наименования и элементы классификации операционных рисков, которые отслеживают КИР;
подразделение кредитной организации (головной кредитной организации банковской группы), ответственное за предоставление данных для расчета КИР и (или) расчет КИР;
порядок реагирования на превышение пороговых значений КИР».
[7] https://cbr.ru/faq_ufr/dbrnfaq/doc/?UniDbQuery.Posted=True&UniDbQuery.SHrase=%D0%9A%D0%98%D0%A0&UniDbQuery.number=716-%D0%9F
Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki
Назад в раздел