<Письмо> Банка России от 22.03.2022 N 42-5-7/1008
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 22 марта 2022 г. N 42-5-7/1008
О ПРИМЕНЕНИИ НОРМ ПОЛОЖЕНИЯ БАНКА РОССИИ N 716-П
Департамент надзора за системно значимыми кредитными организациями рассмотрел письмо об операционном риске (далее - письмо) и направляет комментарии по указанным в письме вопросам регулирования управления операционным риском в кредитных организациях.
Директор Департамента надзора
за системно значимыми
кредитными организациями
М.Г.ЛЮБОМУДРОВ
Приложение
ТАБЛИЦА
ОТВЕТОВ НА ВОПРОСЫ ПО УПРАВЛЕНИЮ ОПЕРАЦИОННЫМ РИСКОМ
В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ, НАПРАВЛЕННЫЕ ПИСЬМОМ АССОЦИАЦИИ
БАНКОВ РОССИИ ОТ 07.02.2022 N 02/05/109
N п/п
Содержание вопроса
Комментарии Банка России
1
2
3
1.
Если выявлено отсутствие досье по контрагенту, какой следует выбрать тип события операционного риска: "Ошибки при подготовке договоров и осуществлении документационного обмена" или "Ошибки при подготовке, проведении и сопровождении операций"?
В случае отсутствия клиентского досье по контрагенту кредитной организации (головной кредитной организации банковской группы) (далее - кредитная организация), данное событие следует относить к типу событий "ошибки при подготовке, проведении и сопровождении операций" в соответствии с пунктом 7.1 приложения 4 к Положению Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П).
2.
Относятся ли к операционному риску платежной системы события, связанные с отказом, полученным из платежной системы Банка России по пакету электронно-платежных документов (R-макет) вследствие несовершенства процессов/ошибок сотрудников/сбоя систем/внешних факторов?
Пример события операционного риска, указанный в вопросе, следует относить к операционному риску платежной системы в соответствии с абзацем одиннадцатым пункта 1.4 Положения N 716-П и направлению деятельности "осуществление переводов денежных средств, платежей и расчетов через платежные системы" в соответствии с подпунктом 3.9.5 пункта 3.9 Положения N 716-П.
Правильно ли Банк понимает, что согласно "Альбому распоряжений о переводе денежных средств, применяемых в платежной системе Банка России" любой платеж, совершаемый через корреспондентские счета Банка России и несущий в себе риск реализации операционного риска, может являться риском платежной системы?
Понимание не подтверждаем.
Операционный риск платежной системы, используется в значении, указанном в пункте 1.4 Положения N 716-П. В случае, если платеж, совершаемый через корреспондентские счета Банка России, осуществляется без использования платежных систем и при проведении данного платежа реализовалось событие операционного риска, то такое событие при регистрации в базе событий не следует относить в виду операционного риска "операционный риску платежных систем" в соответствии с пунктом 1.4 Положения N 716-П, при этом следует для данного события операционного риска следует указать все элементы классификации, указанные в пункте 3.1 Положения N 716-П.
3.
Насколько верна ситуация, когда Банк относит события правового риска (вследствие реализации операционного) к типу событий "Преднамеренные действия третьих лиц"?
Относить все события правового риска к типу события "преднамеренные действия третьих лиц" некорректно. Событие операционного риска следует классифицировать по типам событий в соответствии с пунктом 3.6 Положения N 716-П в зависимости от факторов и обстоятельств реализации данного события. Например, если правовой риск реализовался вследствие ошибок, допущенных работником кредитной организации при проведении правовой экспертизы договоров, заключаемых кредитной организацией, данное событие следует относить к типу события "нарушение организации, исполнения и управления процессами" в соответствии с подпунктом 3.6.7 пункта 3.6 Положения N 716-П. Также правовой риск может реализоваться в виде событий, относимых к типам событий, указанных в подпунктах 3.6.3 и 3.6.4 пункта 3.6 Положения N 716-П.
Дополнительные комментарии Банка России по вопросам отнесения событий правового риска к событиям операционного риска размещены на сайте Банка России в следующих разделах: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 2), вопрос 12", "О видах операционного риска (часть 4), вопрос 2", "О ведении базы событий (часть 4), вопрос 18".
4.
Насколько тип события "нарушение организации, исполнения и управления процессами кредитной организации", включающий в себя "ошибки расчетно-кассового обслуживания и управления счетами клиентов, состоящие в нарушении порядка работы со счетами клиентов, в том числе работы со средствами клиентов, находящимися в доверительном управлении", относится к событиям расчетно-кассового обслуживания, совершенным вне контекста доверительного управления со счетами клиентов?
Правильно ли понимание, что ошибки, совершенные при расчетно-кассовом обслуживании вне доверительного управления, относятся к категории "ошибки при подготовке, проведении и сопровождении операций, состоящие в нарушении внутренних процессов, стандартов, правил кредитной организации" согласно п. 7.1 Приложения 4 к Положению 716-П?
В соответствии с пунктом 7.4 приложения 4 к Положению N 716-П тип события операционного риска "ошибки расчетно-кассового обслуживания и управления счетами клиентов" состоит в нарушении порядка работы со счетами клиентов, в том числе работы со средствами клиентов, находящимися в доверительном управлении. Таким образом, к данному типу события следует относить все ошибки расчетно-кассового обслуживания и управления счетами клиентов, не ограничиваясь ошибками в работе со счетами клиентов, находящимися в доверительном управлении.
5.
В п. 3 Приложения 2 приведена формула расчета объема капитала, выделяемого на покрытие потерь. Расчет производится по 3-м показателям для базового капитала, основного и величины собственных средств (капитала Банка). Как применять в дальнейшем рассчитанные показатели, есть ли необходимость приводить их к совокупному показателю?
Расчет показателей в соответствии с пунктом 3 приложения 2 к Положению N 716-П проводится для целей определения объема базового, основного капитала и величины собственных средств (капитала), необходимых на покрытие потерь от реализации событий операционного риска для цели обеспечения требований Инструкции Банка России от 29 ноября 2019 года N 199-И "Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальной лицензией" по соблюдению следующих обязательных нормативов достаточности капитала: Н1.1, Н1.2, Н1.0. Для цели расчета необходимого капитала на покрытие ожидаемых и непредвиденных потерь от операционного риска кредитная организация проводит оценку превышения фактической совокупной величины прямых годовых потерь от реализации событий операционного риска над целевым (прогнозным) значением размера операционного риска () и учитывает ее при определении необходимого объема капитала, выделяемого ей в составе всех трех видов капиталов (базового, основного капитала и величины собственных средств (капитала)) на покрытие потерь от реализации событий операционного риска. С учетом порядка расчета величины базового, основного капитала и величины собственных средств (капитала), определяемого Положением Банка России от 4 июля 2018 года N 646-П "О методике определения собственных средств (капитала) кредитных организаций ("Базель III")", необходимость в определении дополнительного совокупного показателя отсутствует.
6.
Возможно ли установление сигнальных и контрольных значений по риску информационной безопасности не по всем показателям?
В соответствии с пунктом 5.1 Положения N 716-П в целях контроля за уровнем операционного риска кредитная организация определяет во внутренних документах на плановый годовой период контрольные показатели уровня операционного риска (далее - КПУР) в соответствии с приложением 1 к Положению N 716-П, а также устанавливает целевые значения этих показателей. При этом количественные контрольные показатели риска информационной безопасности, указанные в абзацах десятом - четырнадцатом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П, устанавливаются в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска. Дополнительные комментарии Банка России по вопросам порядка утверждения КПУР размещены на сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О контрольных показателях уровня операционного риска, вопрос 2".
7.
Необходимо ли перенести рисковые события за последний год в автоматизированную систему?
Положением N 716-П не установлено требование о переносе событий операционного риска за годы, предшествующие 2022 году, в автоматизированную систему. Кредитная организация вправе самостоятельно принять соответствующее решение. При этом обращаем внимание, что если кредитная организация примет решение о применении расчетной величины коэффициента внутренних потерь (далее - КВП) для расчета размера операционного риска в соответствии с Положением Банка России от 7 декабря 2020 года N 744 "О порядке расчета размера операционного риска ("Базель III") и осуществления Банком России надзора за его соблюдением", то база событий данной кредитной организации должна содержать данные о прямых потерях от реализации событий операционного риска, как минимум за 5 последних лет до даты начала расчетного года.
8.
Правильно ли мы понимаем, что несмотря на требования 716-П о группировке СОР в течение 48 часов и регистрации в течении 5 дней, - можно раз в месяц и как это делать?
Обращаем внимание, что требование о группировке событий операционного риска в течение 48 часов не предусмотрено Положением N 716-П, указанное значение приведено в качестве примера. В соответствии с пунктом 6.12 Положения N 716-П кредитная организация определяет во внутренних документах критерии однородности событий операционного риска для целей их группировки (например, события операционного риска объединяются кредитной организацией в одну группу в случае, если у них одинаковый источник операционного риска, один и тот же процесс или этап процесса, тип события операционного риска, а период времени возникновения составил не более 48 часов). Дополнительные комментарии Банка России по вопросам порядка учета однородных событий операционного риска, объединенных в группу, размещены на сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 2), вопрос 1".
9.
Вопрос по контрольным показателям уровня ОР (КПУОР): по итогам расчета КПУОР на основе статистических данных (по исторической базе событий) получены крайне незначительные величины (к примеру, первые 5 показателей - это десятые доли процента). Есть ли у КО возможность скорректировать в сторону увеличения расчетные показатели, предполагая, что с учетом новых требований указанные показатели будут достигнуты достаточно быстро? (вопрос в отношении небольшого регионального банка с базовой лицензией)
Понимание подтверждаем. Подразделение, ответственное за организацию управления операционным риском, проводит расчет сигнальных и контрольных значений КПУР на основе статистических данных о событиях операционного риска в соответствии с пунктом 5.3 Положения N 716-П, при этом, в случае если период ведения базы событий кредитной организации составляет менее десяти лет, данный расчет может базироваться и на иных данных (например, на результатах стресс-тестирования и прогнозирования изменений подверженности событиям операционного риска на плановых период в результате возникновения факторов и обстоятельств, которые отсутствовали в прошлых периодах и не были учтены в предыдущей статистке). В случае дополнительного увеличения расчетных значений показателей (сверх данных предыдущей статистики), подразделение, ответственное за организацию управления операционным риском, должно оформить расчет и включить соответствующее обоснование сигнальных и контрольных значений КПУР, формируемое в соответствии с пунктом 5.3 Положение N 716-П, заново утвердив данное обоснование решением коллегиального исполнительного органа кредитной организации.
Также см. пункт 12 настоящей таблицы.
10.
Есть комментарий Банка России по отношению к кредитному и правовому риску (... В то же время в случае, если КО подала в суд иск как бизнес-операцию взыскания стандартной просроченной задолженности (т. е. не образованной в результате события ОР), то данное событие не следует рассматривать как событие правового риска и (или) операционного риска...). При этом есть письмо 92-Т, в котором есть абз. 3 п. 2.1.2, к внешним факторам возникновения правового риска относятся: нарушения клиентами и контрагентами КО условий договоров. В данном случае иски, поданные в результате нарушения клиентами и контрагентами условий договоров, не должны относиться к правовому риску?
Обращаем внимание, что Письмо Банка России от 30 июня 2005 года N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" носит рекомендательный характер, в связи с чем в вопросах регулирования управления правовым риском как видом операционного рекомендуем опираться на требования Положения N 716-П. В случае если нарушение клиентами и (или) контрагентами кредитной организации условий договоров обусловлено источниками операционного риска, указанными в пункте 1.3 Положения N 716-П, данное событие следует считать событием операционного риска, которое подлежит регистрации в базе событий с учетом порога регистрации и требований главы 9 Положения N 716-П.
Например, если неисполнение клиентом/контрагентом условий договора произошло по причине их сознательных преднамеренных действий или намерений не исполнять условия договора при его заключении, то такие события следует относить к операционным рискам. Если же неисполнение условий кредитного договора произошло по причине объективного характера, не зависящим от воли и действий добросовестного клиента/контрагента (например, реализации бизнес-риска при выполнении кредитного договора, или введения санкций или ограничений со стороны органов регулирования иностранных государств), то такие события следует классифицировать по первичному источнику риску - как события кредитного риска, которые произошли в бизнесе клиента/заемщика по объективным обстоятельствам, не зависящим от воли и действий заемщика, а неисполнение договоров - это следствие от реализация такого кредитного риска.
Дополнительные комментарии Банка России по вопросам регистрации в базе событий случаев, связанных с невыполнением контрагентами/клиентами условий договоров размещены на сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 4), вопросы 4, 18".
11.
К какому направлению деятельности отнести бизнес в части Оператора платежной системе - осуществление функций операционного, клирингового и расчетного центра? В 3.9.5 описание касается именно участника ПС, определение Оператора как 161-фз не упоминается.
Бизнес-процесс кредитной организации, указанный в вопросе, считаем целесообразным относить к направлению деятельности "осуществление переводов денежных средств, платежей и расчетов через платежные системы" в соответствии с подпунктом 3.9.5 пункта 3.9 Положения N 716-П.
12.
Просим пояснить, в случае отсутствия у банка базы операционного риска (менее 3 лет ведется) каким образом необходимо определить контрольные показатели уровня операционного риска?
В случае если у кредитной организации по состоянию на 1 января 2022 года отсутствуют статистические данные о событиях операционного риска, необходимые для расчета сигнальных и контрольных (далее - целевых) значений КПУР, кредитная организация в соответствии с требованиями абзаца второго пункта 5.3 Положения N 716-П осуществляет расчет целевых значений КПУР на 2022 год на основе фактически имеющегося периода (например, за 2021 год) наблюдений данных, участвующих в расчете, с учетом возможной корректировки значений этих показателей на прогноз изменения объема операций и (или) оценки уровня операционного риска на 2022 год по сравнению с предыдущим периодом (например, 2021 годом).
В данном случае подразделение кредитной организации, ответственное за организацию управления операционным риском, должно определить во внутренних документах методику расчета целевых значений КПУР на 2022 год с учетом недостающих данных. Для данных целей кредитная организация вправе:
произвести ретроспективный анализ произошедших событий операционного риска как минимум за 2021 год. Следует отметить, что Положение N 716-П вступило в силу с 1 октября 2020 года и у кредитных организаций было больше года для накопления необходимых исторических данных для расчета целевых значений КПУР; определить целевые значения КПУР на основе экспертного суждения об уровне операционного риска по кредитной организации в целом, в зависимости от характера и масштаба деятельности кредитной организации (например, используя, при необходимости, открытые внешние данные о годовых суммах потерь кредитных организаций от операционного риска, в том числе риска информационной безопасности). В соответствии с абзацем третьим пункта 5.3 Положения N 716-П кредитная организация должна оформить расчет и обоснование целевых значений КПУР в виде заключения и включить его в состав материалов, направляемых им на рассмотрение коллегиальным исполнительным органом кредитной организации при утверждении (пересмотре) политики управления операционным риском.
Дополнительные комментарии Банка России по вопросу расчета контрольных показателей уровня операционного риска размещены на официальном сайте Банка России в следующих разделах: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О контрольных показателях уровня операционного риска (часть 3), вопрос 1".
Также см пункт 9 настоящей таблицы.
13.
Правильно ли мы понимаем, банк с базовой лицензией фиксирует события операционного риска с прямыми потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13, т.е. события которые несут непрямые потери (качественные и косвенные) банк имеет право не фиксировать?
Понимание подтверждаем. В соответствии с абзацем третьим подпункта 9.3.1 пункта 9.3 Положения N 716-П банк с базовой лицензией в обязательном порядке с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 Положения N 716-П.
Таким образом, необходимость регистрации событий операционного риска с иными видами потерь (например, качественными, косвенными потерями) кредитная организация с базовой лицензией вправе определить самостоятельно исходя из характера и масштаба своей деятельности, уровня операционного риска (например, определить обязательность регистрации данных видов потерь для критически важных процессов, играющих ключевую роль в деятельности кредитной организации, по которым имеются технологии выявления и оценки таких потерь (например, автоматизированный документооборот в рамках выполнения данного процесса), для цели последующего накопления статистики и установлениях ключевых индикаторов риска (далее - КИР) в рамках проведения процедуры мониторинга (то есть контроля и ограничения) операционного риска на данном бизнес-процессе в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П
Дополнительные комментарии Банка России по вопросам необходимости регистрации событий операционного риска с потенциальными потерями в базе событий размещены на сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 2), вопрос 9".
Исключение из критериев для обязательной регистрации в качестве событий операционного риска потерь, которые удалось возместить в течение 5 рабочих дней по аналогии с принципом "rapidly recovered losses", предусмотренным ЕВА
14.
По терминалу клиента не зачислился платеж по технической причине, в течение 3 дней банк зачисляет необходимую сумму. Имеет ли право банк не регистрировать такого рода события?
В случае если в связи с задержкой платежа кредитная организация нарушает сроки, указанные в договорных обязательствах перед клиентом, что может повлечь за собой претензию со стороны клиента и выплату ему соответствующей компенсации, представленный пример является событием операционного риска, который подлежит регистрации в базе событий с учетом порога регистрации и требований главы 9 Положения N 716-П. В случае если задержка платежа была устранена в сроки, которые не влекут нарушения кредитной организацией договорный отношений с клиентом, кредитная организация вправе самостоятельно определить необходимость регистрации вышеуказанного инцидента в базе событий с указанием вида качественной потери "снижение качества предоставления услуг, выполнения операций" в соответствии с абзацем седьмым подпункта 3.12.2 пункта 3.12 Положения N 716-П, для цели введения соответствующего КИР, контролирующего количество таких сбоев, и последующего его мониторинга в соответствии с подпунктом 2.1.7 пункта 2.1 Положения N 716-П (см. также пункт 13 настоящей таблицы).
15.
Возможно ли не регистрировать следующие события:
- недостачи в кассе, возникшие в результате ошибок в отражении операций в бухгалтерском учете, при условии погашения недостачи в рамках 2-х операционных дней,
- технические овердрафты, обусловленные технологией учета данного типа операций, погашенные в течение 5 рабочих дней
- ошибочные проводки в бухгалтерском учете при проведении корректирующей операции в течение 5 рабочих дней
Комментарии Банка России по вопросу порядка регистрации в базе событий операционного риска, связанных с недостачами, размещены на сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 4), вопрос 13".
Комментарии Банка России по вопросу порядка регистрации в базе событий операционного риска, связанных ошибочными проводками, размещены на сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О ведении базы событий (часть 4), вопрос 2".
Также см. пункт 13 настоящей таблицы.
16.
Возможно ли разграничение наблюдаемых возникновений операционных потерь на 2 категории:
1) непредвиденные события, потери по которым не были предусмотрены бюджетом, - подлежат регистрации как событие ОР
2) ожидаемые события, которые предусмотрены для данного процесса/продукта/информационной системы/оборудования - не подлежат регистрации как событие ОР.
Положением N 716-П не предусмотрена классификация событий операционного риска на непредвиденные и ожидаемые события.
В приведенных в письме примерах так называемые "ожидаемые события" - это технологические события, связанные с техническими особенностями оборудования, которое используется в данном бизнес-процессе, или с технологиями организации процесса. Данные технологические события не приводят к прямым и (или) косвенным потерям кредитной организации или потерям клиентов.
Кредитная организация вправе предусмотреть в базе событий дополнительные элементы классификации таких "технологических" событий, не влекущих прямые и (или) косвенные потери, без их регистрации в базе событий операционного риска, при условии сохранения информации о них в "log файлах" оборудования и систем с возможностью выгрузки в последующем этой информации для использования в управленческих и аналитических целях.
Непредвиденные события
Ожидаемые события
Застревание купюр в транспортных путях банкомата - нарушение операционной деятельности
Купюры перенаправлены в reject-кассету, предусмотренную для таких случаев конструкцией банкомата - нет нарушения операционной деятельности
Платежное поручение клиента, полученное в течение периода обслуживания, исполнено на следующий день
Платежное поручение клиента, полученное после завершения периода обслуживания, исполнено на следующий день
Неисполнение платежного документа клиента, не включенного в иностранные санкционные списки
Приостановка исполнения платежного документа клиента, включенного в иностранные санкционные списки