Приложение. Комментарии Банка России к замечаниям и предложениям Ассоциации банков России к проекту указания Банка России "О внесении изменений в Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе". Письмо Банка России от 27.08.2021 N 41-4-4-1/747 "О рассмотрении предложений Ассоциации банков России к проекту указания Банка России"

Приложение

Комментарии Банка России к замечаниям и предложениям Ассоциации банков России к проекту указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - проект)

N п/п	Структурная единица проекта / нормативного акта Банка России	Содержание замечания или предложения	Пояснение	Решение	Комментарий Банка России
1	2	3	4	5	6
1.	Подпункт 1.2.2 пункта 1/ абз. 2 подпункта 2.1.4 пункта 2.1	Уточнить, к какой части абзаца относится дополнение	Текущая формулировка подпункта 2.1.4. предполагает, что агрегированная оценка ОР не осуществляется, если КО не использует продвинутые подходы. Уточнение формулировки п. 2.1.4., по нашему мнению, необходимо для исключения двойного толкования в отношении того, относится ли дополнение ко всему пункту, либо только к тексту "а также по типам событий операционного риска в соответствии с пунктом 3.6 настоящего Положения, направлениям деятельности, в том числе в разрезе составляющих их процессов, в соответствии с пунктом 3.9 настоящего Положения и видам операционного риска в соответствии с пунктом 1.4 настоящего Положения".	Учтено	Условие применения агрегированной оценки уровня операционного риска изложено в отдельном абзаце подпункта 2.1.4 пункта 2.1 Положения N 716-П.
2.	Подпункт 1.2.3 пункта 1 / абз. 4 подпункта 2.1.4 пункта 2.1	Детализировать требования	Детализировать требования к оценке ожидаемых потерь от реализации ОР, а также установлением способов и критериев ее проведения (возможно планируется разработка отдельных рекомендаций по ее проведению).	Отклонено	Рекомендации по оценке ожидаемых потерь будут представлены Банком России в виде методических рекомендаций, планируемых к изданию в 2021 году.
3.	Подпункт 1.2.5 пункта 1 / абз. 6 подпункта 2.1.5 пункта 2.1	Не включать уточнения относительно необходимости учета результатов предыдущих качественных оценок в предложенном виде	С целью четкого понимания требований Регулятора сформулировать отдельный абзац в виде "Если кредитной организацией по результатам предыдущих качественных оценок уровня операционного риска и анализа событий, проведенного в соответствии с абзацем вторым подпункта 2.1.1 пункта 2.1 настоящего Положения, выявлено.../получен результат..., то в план мероприятий по проведению качественной оценки уровня операционного риска кредитная организация в обязательном порядке включает...".	Учтено	Абзац изложен в следующей редакции: "Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него процессов и подразделений, уровень операционного риска у которых по результатам предыдущих качественных оценок был "высокий" и "очень высокий", который утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы) и включает определение ответственных и участвующих подразделений кредитной организации (головной кредитной организации банковской группы) (далее - план проведения качественной оценки)."
4.	Подпункт 1.2.6 пункта 1 / абз. 8 подпункта 2.1.5 пункта 2.1	Исключить требование о проведении самооценки "не реже одного раза в год" для всех подразделений или Уточнить	Предлагаемые уточнения в части учета результатов прошлых оценок (1.2.5 Проекта) не являются достаточными для использования риск-ориентированного подхода при планировании самооценки подразделений в связи с наличием указанного ограничения. Вопрос: Уточнить требуется ли участие в самооценке абсолютно всех подразделений банка.	Отклонено	См. комментарий к строке 3 настоящей таблицы. В кредитной организации на ежегодной основе разрабатывается план мероприятий по проведению качественной оценки уровня операционного риска, в который включено определение ответственных и участвующих подразделений кредитной организации (головной кредитной организации банковской группы).
5.	Подпункт 1.2.8. пункта 1 / абз. 17 подпункта 2.1.5 пункта 2.1	Детализировать требования к сценариям, процедуре проведения сценарного анализа по риску информационной безопасности	Критерии проведения сценарного анализа операционных рисков. Предлагаем детализировать требования к проведению сценарного анализа операционного риска, в т.ч. риска информационной безопасности (требования к сценариям и процедуре проведения). Детализация в рамках Положения 716-П необходимо для избегания разночтений с требованиями проекта ГОСТ Р - "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения", в соответствии с которыми сценарный анализ представляет собой киберучения.	Отклонено	Рекомендации по методике и порядку проведения сценарного анализа будут представлены Банком России в виде методических рекомендаций, планируемых к изданию в 2021 году. Также в Положение N 716-П вносятся изменения, в соответствии с которыми выделяется способ проведения качественной оценки уровня операционного риска, включаемый в сценарный анализ, - моделирование угроз.
6.	Подпункт 1.3 пункта 1 / пункт 3.10	Не вносить данные изменение, а оставить пункт 3.10. в текущей редакции или Дополнить Проект критериями отнесения направления деятельности к наиболее значимому (основному) направлению деятельности	На текущий момент в БД по событиям ОР указывается одно основное направление деятельности, указание целого ряда направлений повлечет дополнительную реклассификацию событий, а также создаст дополнительные сложности при подготовке отчетности в разрезе направлений деятельности. Так как большинство показателей по требованиям ЦБ РФ должны рассчитываться в разрезе направлений деятельности, учет потерь по одному кейсу по нескольким направлениям приведет к дополнительным трудозатратам. Также имеется предложение: учитывая, что выбор такого основного направления деятельности будет существенно влиять на рассчитываемые контрольные показатели и отчетность по рисковым событиям, в целях применения кредитными организациями единого и последовательного подхода к определению наиболее значимого направления деятельности, на которое аллоцируется рисковое событие, предлагаем дополнить Проект критериями его определения.	Отклонено	При формировании отчетов, расчета контрольных показателей уровня операционного риска (далее - КПУР) кредитная организация должна учитывать только основное "наиболее значимое направление деятельности", аналогично тому, как это делается в разрезе направлений деятельности. В соответствии с изменениями, внесенными в пункт 3.10 Положения N 716-П кредитная организация указывает "наиболее значимое направление деятельности" только в случае, если событие операционного риска отнесено к нескольким направлениям деятельности. В ином случае кредитная организация указывает одно направление деятельности. Требований по проведению переклассификации событий операционного риска, ранее зарегистрированных в базе событий, в Положении N 716-П отсутствуют.
7.	Подпункт 1.4 пункта 1 / подпункт 3.12.3 пункта 3.12	Уточнить номер подпункта Положения 716-П, в который вносятся изменения, изложив п. 1.4. Проекта в следующей редакции "3.12.3. Денежные выплаты.."	Техническая правка. В проекте указано "Подпункт 3.12.3 пункта 3.12 слова изложить в следующей редакции: 3.1.1. "Денежные выплаты." (указана некорректная ссылка на п. 3.1.1.).	Учтено	Учтено в обновленной редакции.
8.	Абз. 1 подпункта 1.4 пункта 1;	Исключить слово "слова"	Техническая правка.	Учтено	Учтено в обновленной редакции.
9.	подпункт 1.4 пункта 1 / подпункт 3.12.3 пункта 3.12	1. Дополнить данный текстом, выделенным жирным шрифтом 3.1.1. "Денежные выплаты клиентам, контрагентам, работникам и третьим лицам в целях компенсации им во внесудебном порядке убытков, понесенных ими в результате действий третьих лиц или кредитной организации 2. Не вносить изменения в пункт в части положения: "Кредитная организация (головная кредитная организация) классифицирует данный вид прямых потерь в разрезе следующих видов клиентов, контрагентов, работников и третьих лиц: физических лиц, индивидуальных предпринимателей, юридических лиц и контрагентов" или Уточнить, исключив слово "контрагентов" во втором случае. Изложить указанный абзац в следующей редакции "Кредитная организация (головная кредитная организация) классифицирует данный вид прямых потерь в разрезе видов клиентов, контрагентов, работников и третьих лиц: физических лиц, индивидуальных предпринимателей, юридических лиц" 3. Уточнить данный пункт как "с раздельным учетом потерь, которые были компенсированы кредитной организацией, и потерь, которые впоследствии были компенсированы кредитной организации третьими лицами (например, страховыми организациями"	1. В перечне видов прямых потерь нет пункта про выплаты клиентам, контрагентам и третьим лицам по вине кредитной организации. Предлагается включить это в этот пункт или выделить отдельно. Тем более данные виды потерь необходимо собирать отдельно в соответствии с Проектом отчетности по операционному риску по форме 0409106. 2. Данный пункт создает доп. нагрузку для банков по учету данного вида потерь, которая не предполагалась ранее в 716-П. Кроме того, не дано определение "контрагента" и его отличия от других категорий. Если не вносить данного уточнения пункт можно трактовать как то, что кредитная организация должна собирать и отражать как свои прямые потери возмещения клиенту от третьих лиц (например, МПС), которые произошли не по вине кредитной организации несмотря на то, что такие выплаты находятся вне контроля кредитной организации и не являются ее потерями. Получается, что кредитная организация классифицирует данный вид прямых потерь в разрезе следующих видов, в частности, контрагентов: физических лиц, индивидуальных предпринимателей, юридических лиц и контрагентов. Представляется, что "слово" контрагент во втором случае лишнее. Вопросы: Правильно ли понимать, что денежные выплаты необходимо, в первую очередь, разделить на выплаты за счет средств банка и за счет третьих лиц, потом каждый вид классифицировать на клиентов, контрагентов, работников и третьих лиц, которые в свою очередь нужно будет разделить на физических лиц, ИП, ЮЛ? Если позиция банка верна, то предлагается третий абзац п. 1.4 перефразировать и пояснить, для чего необходима такая детализация, а также привести пример использования банком указанной информации. Правильно ли понимать необходимость введения дополнительного уровня классификации данного вида потерь? В связи с включением в данный пункт категории "работники" правильно ли мы понимаем, что и клиенты Банка, и работники необходимо указывать в рамках одной категории - физические лица? Предлагается уточнить, требуется ли применять предлагаемую классификацию (физические лица, индивидуальные предприниматели, юридические лица и контрагенты) в отчетах по операционному риску (в том числе по форме 0409106 "Отчет по управлению операционным риском в кредитной организации".	Учтено	1. Подпункт 3.12.3 пункта 3.12 Положения N 716-П изложен в новой редакции. 2. Учтено, подпункт изложен в предложенной редакции (из дополнительной классификации исключены "контрагенты"). 3. Учтено, подпункт дополнен словом "впоследствии".
10.	Подпункт 1.8 пункта 1 / подпункт 3.13.3 пункта 3.13	Не вносить данное изменение или Уточнить определение контрагента отнесение потенциальных потерь к категории потери "...юридических лиц и контрагентов"	Данное изменение является усложнением к текущему процессу. Кредитным организациям придется сделать доп. доработки и понести доп. трудозатраты на сбор этих данных. Из формулировки буллита 1 п. 3.13.3 не ясно, является ли формулировка "юридических лиц и контрагентов" одной классификационной единицей, либо кредитная организация должна классифицировать потери отдельно по виду "потери юридических лиц" и по виду "потери контрагентов".	Учтено	См. второй комментарий к строке 9 настоящей таблицы.
11.	Подпункт 1.8 пункта 1 / подпункт 3.13.3 пункта 3.13	Уточнить к какому именно абзацу относится вводимый абзац, поскольку в категории непрямые потери отражаются также и потенциальные потери банка, а данная категория (потери банка) не предусмотрена в предлагаемом разрезе классификации или Первый абзац пункта 1.8 Проекта изложить в редакции: "1.8. Второй абзац подпункта 3.13.3 пункта 3.13 дополнить абзацем следующего содержания:"	П. 1.8. Проекта устанавливает требование о классификации потерь в разрезе видов клиентов. Именно 2-й абзац пп. 3.13.3 относится к потерям средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией. Вопросы: Просьба пояснить, почему в классификации потенциальных потерь отсутствуют работники и третьи лица, внести конкретику относительно применения п. 1.8 проекта в отношении 2-го и 3-го абзацев п. 3.13.3, а также пояснить, для чего необходима такая детализация и привести пример использования банком указанной информации. Правильно ли понимать необходимость введения дополнительного уровня классификации данного вида потерь? А также тот факт, что применить настоящую классификацию банку будет необходимо как в отношение абзаца 2 подпункта 3.13.3, так и в отношение абзаца 3?	Даны пояснения	Изменение, указанное в подпункте 1.8 пункта 1 проекта, относится к виду потерь, приведенному в абзаце втором подпункта 3.13.3 пункта 3.13.
12.	Подпункт 1.10 пункта 1	Исключить слова: "применяющей для целей расчета размера операционного риска"	Техническое исправление повтора слов.	Учтено	Учтено в обновленной редакции.
13.	Подпункт 1.15.6 пункта 1	Нумерация не корректная, должен быть пункт 1.15.9.	Техническая ошибка.	Учтено	Учтено в обновленной редакции.
14.	Подпункт 1.15.9 пункта 1 / абз. 48 пункта 6.6	Не вносить изменение и (или) Пояснить Уточнить порядок отражения в базе событий и в отчетности полной суммы полученного возмещения в случае её превышения над величиной потерь в рублях	Данное изменение является усложнением к текущему процессу учета возмещений. Кредитным организациям придется сделать доп. доработки и понести доп. трудозатраты на сбор этих данных. Кроме того, указана необходимость дополнительного отражения полной суммы полученного возмещения в рублях, но нет изменений/дополнений в группе полей базы событий, содержащей информацию о полученном возмещении понесенных потерь (абз.38 п. 6.6 716-П). Вопросы: Просьба пояснить для каких целей банку необходимо вести учет информации полной суммы возмещения в базе событий (в случае превышения суммы потерь разница относится на доходы банка), а также привести пример использования этих данных. Предлагаем внести конкретику о необходимости (отсутствии необходимости) ввода дополнительного поля в базу событий, отражающего полную сумму полученного возмещения. Не ясно, предполагает ли внесенное в части фиксирования дополнительной информации о полной сумме возмещения необходимость внесения дополнительных полей в базу событий (и соответствующего пересмотра исторических событий). Если полная сумма возмещения должна учитываться в том же поле, то это может привести к двойному учету возмещений. Если полная сумма возмещения должна отражаться в другом поле, то "ограниченная" сумма возмещений не будет совпадать с данными бухгалтерского учета, внесенными по этому возмещению. Просим уточнить курс иностранной валюты на какую дату необходимо использовать при отражении потерь и возмещений. Дополнительно просим уточнить порядок отражения чистых потерь в случае, если сумма возмещения при пересчете по курсу иностранной валюты в рублях меньше суммы потерь.	Учтено	В абзац сорок восьмой пункта 6.6 Положения N 716-П изменения не вносятся.
15.	Подпункт 1.16 пункта 1 / пункт 6.7	Уточнить формулировку п. 6.7 в части порядка включения в расчет валовых прямых потерь прямых потерь от реализации событий операционного риска, статус которых был переведен в статус "оценка потерь от реализации события операционного риска завершена", в течение отчетного месяца	Из формулировки п. 6.7 не ясно следует ли включать в расчет валовых прямых потерь все суммы прямых потерь от реализации событий операционного риска, статус которых был переведен в статус "оценка потерь завершена" в течение отчетного месяца, или прямые потери, понесенные в течение отчетного месяца от реализации событий операционного риска, статус которых был переведен в статус "оценка потерь завершена".	Отклонено	Не является предметом проводимой оценки регулирующего воздействия проекта. Подпунктом 1.16 пункта 1 проекта вводится уточнения в пункт 6.7 Положения N 716-П исключительно в части термина "валовые прямые потери". Комментарии Банка России по вопросу определения валовых потерь, размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора".
16.	Подпункт 1.16 пункта 1 / пункт 6.7	Уточнить формулировку п. 6.7 в части порядка ежемесячного расчета валовых прямых потерь	Пункт 6.7. главы 6 "Ведение базы событий" Положения 716-П устанавливает требование ежемесячно на отчетную дату определять величину валовых прямых потерь от реализации событий операционного риска со статусом "оценка потерь от реализации события операционного риска не завершена" начиная от даты регистрации события операционного риска в базе событий и от начала календарного года (в случае, если событие операционного риска реализовалось ранее текущего календарного года) нарастающим итогом, а также включать в расчет валовых прямых потерь прямые потери от реализации событий операционного риска, статус которых был переведен в статус "оценка потерь от реализации события операционного риска завершена", в течение отчетного месяца. Вопрос: Просим уточнить должен ли порядок расчета валовых прямых потерь, установленный пунктом 6.7 Положения 716-П, применяться для целей расчета квартальных количественных контрольных показателей, предусмотренных подпунктом 1.1.1 Приложения 1 к Положению 716-П и рассчитываемых за определенный отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года.	Отклонено	См. комментарий к строке 15 настоящей таблицы.
17.	Подпункт 1.16 пункта 1 / пункт 6.7	Уточнить порядок включения потерь с учетом ограничения потерь текущим календарным годом	Ниже представлены примеры, по которым требуются такие уточнения для отражения в отчетности. Событие 1.1.: прямые потери: декабрь 2020 г. = 100 000 руб., январь 2021 г. = 300 000 руб., статус события на 01.02.2021 - "оценка потерь от реализации события операционного риска не завершена". В какой сумме войдут прямые потери на 01.04.2021 в расчет валовых прямых потерь: 300 тысяч за январь или 400 тысяч по событию? Событие 1.2.: прямые потери: декабрь 2020 г. = 100 000 руб., январь 2021 г. = 300 000 руб., май 2021 г. - возмещение прямых потерь 200 000 руб., статус изменен в мае на "оценка потерь от реализации события операционного риска завершена". В какой сумме войдут прямые потери события на 01.06: 100 тысяч за январь или 200 тысяч с учетом декабря? Событие 2: событие зарегистрировано в базе событий ОР в ноябре 2020 г. с потенциальными потерями = 100 000 руб. (сумма штрафа), 30.12.2020 уплачен штраф. В базе событий оплата зафиксирована 11.01.2021 и, соответственно, в январе статус события переведен в статус "оценка потерь от реализации события операционного риска завершена". Сумма 100 000 руб. должна быть включена в состав потерь по состоянию на 01.01.2021 (по фактической дате отражения) или 01.02.2021 (по дате изменения статуса события)?	Отклонено	См. комментарий к строке 15 настоящей таблицы.
18.	Подпункт 1.19.2 пункта 1/ абз. 5 подпункта 6.7.3 пункта 6.7	Не вносить изменение	Включение в показатели валовых потерь "расходов, связанных с доначислением резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности, формируемых в соответствии с пунктом 1.1 Положения 590-П, по событиям операционного риска, повлекшим реализацию кредитного риска по конкретным ссудам, ссудной и приравненной к ней задолженности, за исключением случаев, когда указанные расходы возникли в результате реализации события операционного риска, тип которого указан в подпункте 3.6.1 пункта 3.6 настоящего Положения" может привести в значительному росту показателя валовых потерь по сравнению с изначальными расчетами. Кроме того, потребуются доработки расчетов данных показателей, если они уже настроены в кредитных организациях.	Даны пояснения	В соответствии с подпунктом 1.19.2 пункта 1 проекта абзац пятый подпункта 6.7.3 пункта 6.7 Положения N 716-П признается утратившим силу.
19.	Подпункт 1.19.2. пункта 1 / абз. 5 подпункта 6.7.3 пункта 6.7	Уточнить актуальность абзаца 28 п. 6.6 Положения 716-П с учетом признания, утратившим силу абзаца пятого подпункта 6.7.3. Положения 716-П в соответствии с подпунктом 1.19.2 Проекта	Подпункты 1.19.2, 1.33.6, 1.33.7 Проекта устанавливают утратившими силу Положения 716-П, предусматривавших исключение из расчета валовых потерь и количественных контрольных показателей потерь от реализации событий операционного риска, связанных с реализацией кредитного риска. Иные исключения потерь, связанные с другими видами риска, которые не будут включаться в состав валовых прямых потерь, Положение 716-П не предусмотрены. В то же время абзац 28 пункта 6.6 Положения 716-П содержит требование о регистрации в базе данных признака связи потери с другим видом риска (при наличии такой связи), который не будет включаться кредитной организацией (головной кредитной организацией банковской группы) в состав валовых прямых потерь, определяемых в соответствии с пунктом 6.7 Положения 716-П.	Даны пояснения	Актуальность абзаца 28 пункта 6.6 Положения N 716-П с учетом признания утратившим силу абзаца пятого подпункта 6.7.3 пункта 6.7 Положения N 716-П подтверждаем.
20.	Подпункт 1.22 пункта 1 / абз. 8 пункта 6.17	Уточнить номер абзаца	Техническая ошибка. Проект предлагает абзац восьмой пункта 6.17 признать утратившим силу, при этом в текущей редакции Положения 716-П в п. 6.17. всего семь абзацев.	Учтено	Учтено в обновленной редакции.
21.	Подпункт 1.25 пункта 1 / пункт 7.6	Исключить и Пояснить	Получение информации по ФЛ, в отношении которых подтвердился факт утечки информации, представляет собой весьма ресурсоемкую задачу (особенно, если количество ФЛ велико, например, тысячи). Каким образом получать такое подтверждение, также не совсем понятно (обзванивать клиентов? запрашивать у мошенников?), получить такую информацию не всегда представляется возможным, и степень достоверности низкая. Данная информация, возможно, нужна, но затраты на ее получения превышают пользу от нее. Вопрос: Просьба пояснить, что имеется ввиду под "учетом информации о количестве клиентов". То есть в данном случае не подразумевается дополнительная классификация событий риска информационной безопасности, а имеется ввиду непосредственно количественный учет выявленных инцидентов? Каким образом данная информация должна отражаться в базе событий и с какой целью?	Даны пояснения, учтено в редакции	Подразумевается количественный и качественный учет по результатам расследования события риска информационной безопасности. Учтено в обновленной редакции: "7.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 5 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения и пунктом 4 приложения 5 к настоящему Положению с распределением по датам отражения в бухгалтерском учете, с раздельным учетом поступивших возмещений. В случае выявления событий риска информационной безопасности, связанных с не контролируемым кредитной организацией распространением сведений, составляющих банковскую тайну, кредитная организация (головная кредитная организация банковской группы) обеспечивает количественный и качественный учет в базе событий указанных событий.".
22.	Подпункт 1.26 пункта 1 / пункт 7.7	Убрать из п. 7.7 перекрестные ссылки на другие нормативные документы Банка России (в частности, Положение 683-П)	Уже есть действующий и обязательный документ Банка России (то же Положение 683-П) и перепечатывать из него одни и те же требования по другим документам - это излишнее, приводит к нечитабельности документа.	Даны пояснения	Ссылки на Положение N 683-П необходимы для целей детализации общих требований к порядку функционирования системы информационной безопасности, изложенному в пункте 7.7 Положения N 716-П.
23.	Подпункт 1.26 пункта 1 / пункт 7.7	Не исключать из абзаца 5 п. 7.7 возможность подчинения должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности заместителю единоличного исполнительного органа кредитной организации. Кроме того, добавить такую возможность для должностного лица (лица, его замещающего), ответственного за обеспечение функционирования информационных систем	Учитывая сложную функциональную структуру крупных кредитных организаций, ряд контрольных функций от единоличного исполнительного органа (далее - ЕИО) передается его заместителям. На наш взгляд, ЕИО, в силу отсутствия специальных технических и профессиональных компетенций в области информационной безопасности и информационных систем должен иметь возможность передать соответствующие компетенции своим заместителям. Вопрос: Просим уточнить круг лиц и объем информации, предполагаемой для обеспечения осведомленности об актуальных угрозах, которую необходимо направлять во исполнение данного требования.	Отклонено	В целях повышения значимости системы управления операционными рисками в кредитных организациях, в том числе риском информационной безопасности, планируется предусмотреть усиление ответственности не только в отношении лиц, имеющих соответствующие компетенции в части реализации функционирования систем обеспечения информационной безопасности / информационных систем / непрерывности функционирования информационных систем, но и в отношении заместителя единоличного исполнительного органа организации, принимающего решение по вопросам функционирования системы обеспечения информационной безопасности / информационных систем / непрерывности функционирования информационных систем.
24.	Подпункт 1.27 пункта 1 /пункт 7.8	Устранить повтор и определить термин его минуя	В политике информационной безопасности кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет <...> цели управления риском информационной безопасности...".	Учтено	Учтено в обновленной редакции.
25.	Подпункт 1.30 пункта 1 / абз. 3 пункта 8.3	Скорректировать данный пункт в части требований по подчинению лицу, осуществляющему функции единоличного исполнительного органа и предусмотреть вариативность выбора в зависимости от организационной структуры при обеспечении функционирования системы ИБ и ИС и Уточнить требования к должностному лицу, ответственному за информационные системы, в части необходимости/ возможности совмещения обязанностей указанного лица с обязанностями должностного лица, ответственного за обеспечение непрерывности функционирования информационных систем (п. 8.8.10 Положения 716-П)	В предлагаемых уточнениях не ясно можно ли возлагать обязанности этих двух должных лиц на одного работника.	Отклонено	Положением N 716-П не запрещено совмещение функций по обеспечению функционирования информационных систем и по обеспечению непрерывности функционирования информационных систем. В связи с этим кредитная организация в зависимости от характера и масштабов деятельности в целях оптимизации затрат вправе объединить в одном структурном подразделении кредитной организации функции по обеспечению функционирования информационных систем и обеспечению непрерывности функционирования информационных систем, а также возложить ответственность за обеспечение непрерывности функционирования информационных систем на должностное лицо, ответственное за информационные системы.
26.	Азц. 2 подпункта 1.31 пункта 1 / абз. 3 подпункта 9.2.1 пункта 9.2	Уточнить	Просим уточнить требуется ли обязательная разработка КИР по всем критически важным процессам?	Даны пояснения	Мнение подтверждаем.
27.	Азц. 4 подпункта 1.31 пункта 1 / абз. 3 подпункта 9.2.1 пункта 9.2	Не исключать текст, предусмотренный абз.4 п 1.31 Проекта	Проведение сценарного анализа представляется достаточно трудозатратным для кредитной организации с размером активов менее 500 млрд. руб., которая не использует ПВР для оценки операционного риска. Так, к примеру, согласно п. 5.1 Указания 3624-У проведение сценарного анализа установлено только для кредитной организации, размер активов которой составляет 500 млрд. руб. и более. Считаем, что необходимо придерживаться единообразия в подходах к регулированию вопроса проведения сценарного анализа по рискам кредитной организации.	Отклонено	В соответствии с подпунктом 9.2.1 пункта 9.2 Положения N 716-П банк с универсальной лицензией, размер активов которого составляет менее 500 млрд рублей, обязан соблюдать требование о проведении сценарного анализа операционных рисков в качестве способа качественной оценки уровня операционного риска, указанного в абзаце четвертом подпункта 2.1.5 пункта 2.1 Положения N 716-П. В этом случае сценарный анализ уровня операционного риска осуществляется для целей идентификации угроз и негативных последствий реализации операционного риска на уровне процессов кредитной организации, включая выявление недостатков и пробелов в них, разработку мероприятий по их устранению и предотвращению реализации угроз, оценку эффективности (результативности) данных мероприятий, а также качественную оценки уровня операционного риска до и после реализации этих мероприятий путем определения уровня остаточного риска Одновременно сообщаем, что проектом предусматриваются ограничения в части обязательного применения сценарного анализа операционных рисков.
28.	Подпункт 1.1 пункта 1	Исключить введение нового вида риска или Дополнить уточнением, что кредитная организация в дополнение к установленным настоящим Положением видам ОР в своих нормативных документах вправе самостоятельно определять и иные виды ОР	Риски, возникающие при использовании кредитной организацией услуг аутсорсинга, не обладают какими-либо специальными характеристиками, которые определяли бы их принципиальное отличие от прочих видов операционного риска. Основания полагать, что общие принципы и инструменты управления операционным риском при использовании в целях управления "риском аутсорсинга" окажутся недостаточно эффективными, в настоящее время отсутствуют. Введение дополнительного понятия приведет к неоправданному усложнению классификации событий реализации риска, усложнению отчетности по рискам, осложнению понимания раскрываемой кредитными организациями информации сторонними пользователями. Кроме того, постоянно развивающиеся технологии совершения банковских операций и сопровождения банковской деятельности не позволяют рассматривать само понятие "аутсорсинг" как однозначно определенное и неизменное. С учетом изложенного представляется нецелесообразным классифицировать "риск аутсорсинга'"' как вид операционного риска.	Отклонено	В соответствии со стандартом Базельского комитета по банковскому надзору "Принципы надлежащего управления операционным риском" процедуры управления рисками, связанным с аутсорсингом, являются частью систему управления операционным риском. Обращаем внимание, что введение нового вида риска не вызывает "усложнение классификации событий операционного риска" (в соответствии с пунктом 6.6 Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П) предусмотрено только одно поле базы событий с указанием вида операционного риска). Указанный вид риска не является классификационным признаком и включен в Положение N 716-П не для целей назначения в кредитных организациях специализированных подразделений и принятия мер по управлению данным риском. Также сообщаем, что переклассификация ранее признанных событий операционного риска не потребуется.
29.	Подпункт 1.33.3 пункта 1 / абз. 4 подпункта 1.1.1 пункта 1 приложения 1.	Предлагается для кредитных организаций, применяющих Положение 744-П в качестве показателя использовать бизнес-индикатор (аналогично п. 1.10 Проекта), а не КБИ	Предлагается использовать единые показатели для сравнения с целью определения значимости процессов / направлений / потерь.	Учтено	Слова "в виде показателя КБИ" заменены на слова "в виде показателя БИ".
30.	Подпункты 1.33.6, 1.33.7 пункта 1 /абз. 7, 8 подпункта 1.1.1 пункта 1 приложения 1	Не вносить изменение	Включение в показатели потерь от реализации событий кредитного риска, связанных с реализацией операционного риска, может привести к значительному росту показателя валовых потерь по сравнению с изначальными расчетами. Кроме того, потребуются доработки расчетов данных показателей, если они уже настроены в кредитных организациях.	Отклонено	См. комментарий к строке 18 настоящей таблицы. Изменения в приложение 1 к Положению N 716-П внесены в целях синхронизации требований с Положением N 744-П.
31.	Подпункт 1.33.7 пункта 1	Дополнить словами "(за исключением потерь от кредитного риска)"	Техническая правка.	Учтено	Учтено в обновленной редакции.
32.	Подпункт 1.33.8 пункта 1	Слово "девятом" заменить "девятый"	Техническая правка.	Учтено	Учтено в обновленной редакции.
33.	Подпункт 1.35.4 пункта 1	Уточнить	Предлагаем уточнить базу для расчета либо каким образом следует отражать значение данного показателя, поскольку в числителе может быть всегда ноль (не будет событий по риску ИБ, которые мы не отразили в бае событий).	Отклонено	В случае если в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, не будут выявлены события риска информационной безопасности, которые кредитная организация не отразила в базе событий, то значение данного КПУР будет равняться 0.
34.	Абз. 4, 5 подпункта 1.36 пункта 1 / подпункт 1.2.1 пункта 1 приложения 1	Исключить контрольные показатели с данными формулировками с формулировками "приостановление исполнения распоряжений о совершении операций"	При реализации алгоритмов фрод-мониторинга с проверкой не на этапе "исполнения" (статья 8 161-ФЗ), а на этапе "приема к исполнению распоряжения клиента" контрольные показатели будут равны "0", нецелесообразно проводить их мониторинг.	Учтено	Подпункт 1.2.1 пункта 1 приложения 1 Положения N 716-П изложен в новой редакции.
35.	Абз. 6, 7, 8 подпункта 1.36 пункта 1 / подпункт 1.2.1 пункта 1 приложения 1	Исключить привязку к ч. 11 ст. 9 ФЗ-161 и соответствующим срокам уведомлений	Три контрольных показателя с формулировками "об использовании электронного средства платежа без их согласия в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ". В случае привязки к ч. 11 ст. 9 ФЗ-161 будут рассмотрены только те уведомления клиентов, которые направлены не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции. Между тем в соответствии с правилами международных платежных системы таких ограничений нет и финансовые организации могут отрабатывать клиентские уведомления (и в части возмещений, и в части приостановлений), которые поступили в более поздние сроки. Таким образом, привязка к ч. 11ст. 9 ФЗ-161 значительно сужает объем событий, используемый для расчета показателей.	Учтено	Подпункт 1.2.1 пункта 1 приложения 1 Положения N 716-П изложен в новой редакции.
36.	Абз. 9, 10 подпункта 1.36 пункта 1 / подпункт 1.2.1 пункта 1 приложения 1	Исключить показатели, связанные с оценкой уровня соответствия защиты информации и/или Уточнить корректность установления пороговых значений (сигнальное значение выше контрольного)	Результаты оценки соответствия уровня защиты информации непосредственно не связаны с показателями уровня риска (п. 7.2 Положения 716-П), тем более что выделены только два направления оценки соответствия (доступ и утечка). Сигнальное значение - это та черта, при переходе которой банк активно мониторит ситуацию, а по достижению контрольного показателя уже переходит к решительным действиям. Т.е. контрольное значение должно отражать худшее состояние, нежели сигнальное. Здесь же, в количественные контрольные показатели риска информационной безопасности добавляются показатели по результатам аудита соответствия по ГОСТу. Причем, контрольное значение устанавливается равным 0.85, а сигнальное - 0.9, а по логике здесь 0,9 это лучше, чем 0,85, ведь оно отражает уровень соответствия. И к слову, это очень высокие планки. К примеру, по результатам аудита в 2019 году по процессу 5 "Предотвращение утечек информации" наша оценка составила только 0.71, а с ним мы показали соответствие третьему уровню, который Банк России требовал только к январю 2021.	Отклонено	Кредитная организация определяет во внутренних документах на плановый годовой период контрольные показатели уровня риска информационной безопасности в отношении процессов "Обеспечение защиты информации при управлении доступов" и "Предотвращение утечек информации". Расчет фактических значений показателей проводится согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018. Одновременно с этим кредитная организация осуществляет управление риском с учетом контрольного значения (предельно допустимое значение показателя, при нарушении которого информация доводится до совета директоров (наблюдательного совета) и применяются меры реагирования, которые описаны во внутренних документах кредитной организации) и сигнального значения (при нарушении которого проводится ежедневный мониторинг значений показателя и реализация мер, направленных на устранение превышения фактического значения данного показателя над предельно допустимым значением показателя). Контрольное значение должно быть не менее 0,85, сигнальное значение - не менее 0.9. При этом указанные значения превышают уровень соответствия, предусмотренный пунктом 9.2 Положения Банка России N 683-П, и подразумевают необходимость управления риском, в том числе и когда кредитная организация соответствует установленному в Положении N 683-П уровню защиты информации.