- Главная
- Положение Банка России от 18 августа 2021 г. N 770-П "О требованиях к системе внутреннего контроля, системе управления рисками и обеспечению непрерывности деятельности бюро кредитных историй" (с изменениями и дополнениями)
- Глава 2. Требования к системе управления рисками бюро кредитных историй
Глава 2. Требования к системе управления рисками бюро кредитных историй
Глава 2. Требования к системе управления рисками бюро кредитных историй
Информация об изменениях:
Пункт 2.1 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
2.1. В соответствии с частью 2 2 статьи 10 Федерального закона "О кредитных историях" бюро обязано организовать систему управления рисками, предусматривающую совокупность действий органов управления бюро и сотрудников бюро по разработке и реализации стратегии управления рисками, включающей принятие бюро организационно-технических мер по идентификации рисков, их анализу и оценке, определению приемлемого сочетания и уровня принимаемых рисков, а также мер по поддержанию рисков на приемлемом уровне, мониторингу и контролю процессов управления рисками (далее соответственно - стратегия управления рисками, система управления рисками).
Информация об изменениях:
Пункт 2.2 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
2.2. В рамках разработки и реализации стратегии управления рисками органы управления бюро должны обеспечивать соответствие действий, которые бюро планирует осуществить для достижения поставленных целей, финансовых (бюджетных) планов или бизнес-планов бюро, организационной структуры бюро, штатной численности бюро и размера собственных средств квалифицированного бюро характеру и масштабу его деятельности, уровню и сочетанию рисков.
2.3. В целях организации системы управления рисками совет директоров (наблюдательный совет) бюро, а при его отсутствии - общее собрание акционеров (участников) бюро утверждает и осуществляет контроль за реализацией мероприятий в рамках организации системы управления рисками, в том числе утверждает стратегию управления рисками, содержащую основные принципы выявления (подходы к выявлению) рисков, организации процесса управления рисками, измерения и оценки рисков, и при необходимости иные внутренние документы в отношении системы управления рисками. По решению бюро стратегия управления рисками может содержаться в одном или нескольких внутренних документах бюро.
Стратегия управления рисками должна пересматриваться бюро не реже одного раза в год.
2.4. Ответственным за организацию системы управления рисками и за соответствие деятельности бюро стратегии управления рисками должно быть определено лицо, осуществляющее функции единоличного исполнительного органа бюро.
Информация об изменениях:
Пункт 2.5 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
2.5. Система управления рисками должна позволять бюро идентифицировать все риски, в том числе связанные с наступлением следующих событий:
возникновение расходов (убытков) бюро вследствие неисполнения, несвоевременного либо неполного исполнения контрагентом финансовых обязательств перед бюро в соответствии с условиями заключаемого бюро договора об оказании информационных услуг или договора о размещении временно свободных средств бюро;
возникновение расходов (убытков) бюро вследствие несовершенства или ошибочности внутренних процессов бюро, действий или бездействия работников бюро, несоразмерности (недостаточности) функциональных возможностей применяемых бюро информационных, технологических и других систем объемам оказываемых бюро услуг и (или) отказов (нарушений функционирования) указанных систем, а также в результате воздействия внешних событий или неправомерных действий третьих лиц (далее - событие операционного риска). Система управления рисками должна позволять бюро в составе события операционного риска идентифицировать события, связанные с утечками информации;
возникновение расходов (убытков) бюро в результате ухудшения способности бюро поддерживать существующие и устанавливать новые деловые отношения и поддерживать на постоянной основе доступ к финансовым ресурсам вследствие формирования негативного представления о бюро со стороны клиентов, контрагентов, акционеров (участников), инвесторов, надзорных органов;
возникновение у бюро расходов (убытков) и (или) иных неблагоприятных последствий в результате несоответствия его деятельности требованиям законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро и (или) применения в отношении бюро, его акционеров (участников) и лиц, под контролем или значительным влиянием которых находятся акционеры (участники) бюро, мер со стороны Банка России или органов исполнительной власти;
несоответствие сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй.
2.6. В рамках организации системы управления рисками бюро должно:
2.6.1. организовать ведение аналитической базы событий операционного риска и риска информационной безопасности (далее - БС) в целях их регистрации в соответствии с порядком ведения БС, определенном в стратегии управления рисками. В целях регистрации событий риска информационной безопасности допускается ведение бюро отдельной базы событий риска информационной безопасности. В случае если бюро ведет отдельную базу событий риска информационной безопасности должна обеспечиваться согласованность указанной базы с базой событий операционного риска;
2.6.2. организовать процесс идентификации риска, позволяющий составлять перечень и описание элементов риска (определение риск-факторов, риск-событий, в том числе и риска информационной безопасности путем анализа БС, их последствий, возможности наступления указанных последствий, а также отнесение риска к определенному виду), которому может быть подвержено бюро;
2.6.3. организовать процесс анализа рисков, который должен включать в себя процесс изучения природы и характера рисков и определения их уровня;
2.6.4. организовать процесс оценки рисков, позволяющий определить приемлемость риска, выявленного в ходе процесса анализа риска;
2.6.5. предусмотреть утверждение методов оценки рисков в рамках стратегии управления рисками;
Информация об изменениях:
Подпункт 2.6.6 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
2.6.6. организовать процесс воздействия на риски, который должен включать:
определение необходимости воздействия на риск;
определение и оценку мер воздействия на риск;
определение приемлемости уровня риска после воздействия на риск, а также определение и оценку новых мер воздействия на риск, если уровень риска остается неприемлемым;
2.6.7. документально фиксировать факты возникновения рисков, риск-событий и факты воздействия на них, а также обеспечить хранение информации об указанных фактах в течение не менее трех лет со дня их возникновения;
Информация об изменениях:
Подпункт 2.6.8 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
2.6.8. организовать мониторинг рисков, который должен включать в себя процесс наблюдения за рисками, в том числе за их соответствием допустимому (приемлемому) уровню, внедрением мер реагирования на риски и контрольных процедур, эффективностью данных мер и процедур, а также анализа внешней среды;
2.6.9. организовать мониторинг и контроль процессов управления рисками, которые должны распространяться на все процессы управления рисками и обеспечивать проверку:
предположений, на которых основана оценка риска;
соответствия результатов оценки риска фактической информации о риске;
соответствия применения методов оценки риска принципам стратегии управления рисками;
эффективности процесса воздействия бюро на риск;
2.6.10. организовать осуществление мероприятий по восстановлению непрерывности деятельности бюро в объемах и сроки, которые предусмотрены планом обеспечения непрерывности деятельности бюро (далее - План ОНД), требования к содержанию, порядок и сроки представления которого бюро в Банк России установлены главами 3 и 4 настоящего Положения соответственно;
2.6.11. предусмотреть порядок обмена информацией между работниками и органами управления бюро, обеспечивающий распределение ответственности и полномочий по управлению рисками, в том числе в случае возникновения непредвиденных обстоятельств, а также порядок обмена бюро информацией, необходимой для управления рисками, со своими контрагентами и надзорными органами;
Информация об изменениях:
Пункт 2.6 дополнен подпунктом 2.6.12 с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
2.6.12. предусмотреть порядок взаимодействия бюро с источником, направленный на приведение сведений, представляемых источником в бюро, в соответствие с требованиями к качеству данных кредитных историй, включая порядок уведомления бюро источника о каждом случае несоответствия сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй и порядок направления бюро источнику не реже одного раза в месяц отчета о качестве данных, содержащего информацию обо всех записях и (или) иных данных кредитных историй, не соответствующих требованиям к качеству данных кредитных историй (если в течение отчетного месяца источнику хотя бы один раз направлялось уведомление о несоответствии сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй).
Открыть документ в системе ГАРАНТ