Проект Указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (по состоянию на 17.06.2022)

На основании статьи 57.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" ¹ и части первой статьи 11.1-2 Федерального закона от 2 декабря 1990 года N 395-I "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) ²:

1. Внести в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" ³ следующие изменения:

1.1. В пункте 1.4:

абзац четвертый дополнить словами "(далее - правовой риск)";

абзац девятый дополнить словами ", включая риск неправомерных действий и (или) недобросовестного поведения со стороны кредитной организации (головной кредитной организации банковской группы), который повлек и (или) может повлечь нарушения прав и законных интересов потребителей финансовых и нефинансовых услуг (далее - риск недобросовестного поведения)";

абзац тринадцатый изложить в следующей редакции:

"риск ошибок и недостатков организации и осуществления деятельности кредитной организации (головной кредитной организации банковской группы) по передаче своих функций, операций, услуг и (или) этапов процессов на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), ненадлежащего исполнения ими переданных им функций, операций, услуг и (или) этапов процессов на выполнение (аутсорсинг) (далее - риск аутсорсинга).";

дополнить абзацем следующего содержания:

"В случае если в кредитной организации (головной кредитной организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.".

1.2. Дополнить пунктом 2.6 следующего содержания:

"2.6. Кредитная организация (головная кредитная организация банковской группы) представляет в Банк России информацию о результатах оценки эффективности выполнения процедур управления операционным риском не позднее 10 рабочих дней с даты рассмотрения советом директоров (наблюдательным советом) кредитной организации (головной кредитной организации банковской группы) отчета о результатах оценки эффективности выполнения процедур управления операционным риском в соответствии с пунктом 2.5 настоящего Положения. Для направления указанной информации кредитная организация (головная кредитная организация банковской группы) использует личный кабинет в порядке, определенном Банком России на основании частей первой и четвертой статьи 73.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" ⁴ (далее - личный кабинет).

В случаях, когда технические возможности личного кабинета не позволяют передать требуемый объем материалов и данных, допускается их передача с использованием электронных носителей информации с сопроводительным письмом кредитной организации (головной кредитной организации банковской группы).".

1.3. В пункте 4.2:

дополнить подпункт 4.2.2 абзацем следующего содержания:

"Отчеты, указанные в абзацах втором-четвертом настоящего подпункта, составляются кредитными организациями (головными кредитными организациями банковской группы) на ежеквартальной основе по состоянию на 1-е число месяца, следующего за отчетным периодом, и представляются в Банк России не позднее 10-го рабочего дня квартала, следующего за отчетным. Для направления указанной информации кредитная организация (головная кредитная организация банковской группы) использует личный кабинет.

В случаях, когда технические возможности личного кабинета не позволяют передать требуемый объем материалов и данных, допускается их передача с использованием электронных носителей информации с сопроводительным письмом кредитной организации (головной кредитной организации банковской группы).";

дополнить подпункт 4.2.3 абзацем следующего содержания:

"Отчет об управлении операционным риском за год составляется кредитными организациями (головными кредитными организациями банковской группы) по состоянию на 1-е число месяца, следующего за отчетным периодом, и представляется в Банк России не позднее 10-го рабочего дня года, следующего за отчетным. Для направления указанной информации кредитная организация (головная кредитная организация банковской группы) использует личный кабинет.

В случаях, когда технические возможности личного кабинета не позволяют передать требуемый объем материалов и данных, допускается их передача с использованием электронных носителей информации с сопроводительным письмом кредитной организации (головной кредитной организации банковской группы).".

1.4. Пункт 4.3 дополнить подпунктом 4.3.5 следующего содержания:

"4.3.5. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском недобросовестного поведения, определяет во внутренних документах:

политику в области взаимодействия с клиентами и предложения финансовых и нефинансовых услуг;

порядок утверждения и пересмотра требований политики в области взаимодействия с клиентами и предложения финансовых и нефинансовых услуг в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов, результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением;

повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы), направленных на соблюдение прав потребителей финансовых и нефинансовых услуг;

порядок предупреждения, выявления и контроля конфликта интересов, возникающего в рамках взаимодействия с клиентами и предложения финансовых и нефинансовых услуг; порядок выявления и регистрации случаев фактической реализации риска недобросовестного поведения, вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска недобросовестного поведения) включая результаты рассмотрения обращений потребителей финансовых и нефинансовых услуг, связанных с нарушением их прав и законных интересов при предоставлении кредитной организацией (головной кредитной организацией банковской группы) финансовых и нефинансовых услуг;

анализ динамики поступления обращений потребителей финансовых и нефинансовых услуг на деятельность кредитной организации (головной кредитной организацией банковской группы), ее третьих лиц (подрядчиков, контрагентов, участников банковской группы) (в том числе поступающих в Банк России и Службу обеспечения деятельности финансового уполномоченного) и причин их возникновения, а также планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на снижение количества обращений, содержащих жалобу на действие или бездействие кредитной организации (головной кредитной организации банковской группы), ее третьих лиц (подрядчиков, контрагентов, участников банковской группы);

порядок реагирования на выявленные события риска недобросовестного поведения;

планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском недобросовестного поведения и уменьшение негативного влияния риска недобросовестного поведения.

Кредитная организация (головная кредитная организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска недобросовестного поведения с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложением 4 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения.";

1.5. Абзац пятый пункта 6.6 после слова "рублей" дополнить словами ", в случае если потери относятся к качественным потерям, порог регистрации в базе событий составляет не более высокого уровня потерь".

1.6. Дополнить пункт 7.7 абзацем следующего содержания:

"порядок обработки (хранения, уничтожения) информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации кредитной организации (головной кредитной организации банковской группы), не подлежащей разглашению или опубликованию.".

1.7. Дополнить главой 8.1 следующего содержания:

"Глава 8.1. Управление риском аутсорсинга

8.1.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском аутсорсинга.

8.1.2. Риск аутсорсинга включает в себя:

риск, присущий деятельности кредитной организации (головной кредитной организации банковской группы) при аутсорсинге функций, операций, услуг и (или) этапов процессов, связанных с применением информационных технологий (далее - аутсорсинг ИТ) и (или) использованием облачных услуг (далее - риск аутсорсинга ИТ и использования облачных услуг);

другие виды риска аутсорсинга, обусловленные источниками операционного риска, приведенными в подпунктах 3.3.1, 3.3.2, 3.3.4 пункта 3.3 настоящего Положения.

8.1.3. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском аутсорсинга определяет во внутренних документах порядок осуществления передачи отдельных функций, операций, услуг и (или) этапов процессов на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) и обеспечения их выполнения (далее - обеспечение функционирования аутсорсинга) и обеспечивает его выполнение, в том числе:

политику аутсорсинга, в том числе политику аутсорсинга ИТ и использования облачных услуг в ее составе;

выявление и идентификацию риска аутсорсинга, а также его оценку в соответствии с подпунктами 2.1.1 и 2.1.5 пункта 2.1 настоящего Положения;

участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы) в решении вопросов управления риском аутсорсинга;

определение подразделения (подразделений) кредитной организации (головной кредитной организации банковской группы), ответственного (ответственных) за обеспечение функционирования аутсорсинга (далее - подразделение, ответственное за организацию аутсорсинга), и подразделения (подразделений), ответственного (ответственных) за осуществление процедур выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и составления договоров и иной документации с ними в соответствии с требованиями настоящей главы (далее - подразделение, ответственное за закупки), не являющихся подразделением (подразделениями), ответственным (ответственными) за осуществление функций, операций, услуг и (или) этапов процессов, передаваемых на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) (далее - заказчик аутсорсинга);

распределение функций и ответственности коллегиального исполнительного органа и подразделений кредитной организации (головной кредитной организации банковской группы), в том числе исключающее конфликт интересов в рамках организационной структуры обеспечения функционирования аутсорсинга;

организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников подразделения, ответственного за организацию аутсорсинга;

выявление и регистрацию событий риска аутсорсинга в соответствии с подпунктом 2.1.2 пункта 2.1 настоящего Положения;

установление и реализацию контроля соблюдения требований, установленных настоящей главой;

мониторинг риска аутсорсинга в соответствии с подпунктом 2.1.7 пункта 2.1 настоящего Положения;

соответствие фактических значений контрольных показателей уровня риска аутсорсинга принятым в кредитной организации (головной кредитной организации банковской группы) значениям в соответствии с подпунктом 8.1.7.5 пункта 8.1.7 и с учетом требований главы 5 настоящего Положения;

планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения;

порядок реагирования на выявленные события риска аутсорсинга и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации событий риска аутсорсинга.

8.1.4. В политике аутсорсинга, кредитная организация (головная кредитная организация банковской группы) в целях управления риском аутсорсинга определяет:

функции и ответственность коллегиального исполнительного органа или специализированного комитета (специализированных комитетов), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы), в рамках управления риском аутсорсинга;

понятие аутсорсинга функций, операций, услуг и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) в соответствии с рекомендуемыми подходами, приведенными в приложении 6 к настоящему Положению, к его определению и составу функций, операций, услуг и (или) элементов процессов, передача которых на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) может расцениваться как аутсорсинг;

основные принципы организации обеспечения функционирования аутсорсинга и управления риском аутсорсинга, включая условия и ограничения передачи функций, операций, услуг и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);

перечень функций, операций, услуг и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы), которые не подлежат передаче на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);

мероприятия и процедуры управления риском аутсорсинга и обеспечения функционирования аутсорсинга;

функции и полномочия подразделений кредитной организации (головной кредитной организации банковской группы) в рамках реализации политики аутсорсинга;

сигнальные и контрольные значения контрольных показателей уровня риска аутсорсинга;

основные принципы организации контроля за аутсорсингом;

требования к созданию ресурсных (кадровых и финансовых) условий обеспечения функционирования аутсорсинга;

порядок и периодичность формирования отчетов подразделений кредитной организации (головной кредитной организации банковской группы), направляемых на рассмотрение коллегиальному исполнительному органу или специализированному комитету (специализированным комитетам), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы).

Политика аутсорсинга утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).

Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики аутсорсинга.

8.1.5. Кредитная организация (головная кредитная организация банковской группы) разрабатывает во внутренних документах и соблюдает требования к процедурам управления риском аутсорсинга, включая риск аутсорсинга ИТ и использования облачных услуг, и обеспечения выполнения функций кредитной организации (головной кредитной организации банковской группы), передаваемых на аутсорсинг, включая основные, вспомогательные и хозяйственно-административные функции, а также операций, услуг и (или) этапов процессов, передаваемых на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы):

внешним подрядчикам, контрагентам, не связанным с кредитной организацией (головной кредитной организацией банковской группы);

внутренним подрядчикам, контрагентам, связанным с кредитной организацией (головной кредитной организацией банковской группы) (участникам банковской группы);

третьим лицам, оказывающим услуги в сфере информационных технологий, связанные с выполнением технологических процессов кредитной организации (головной кредитной организации банковской группы).

8.1.6. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском аутсорсинга устанавливает во внутренних документах и соблюдает требования к процедурам обеспечения функционирования аутсорсинга функций, операций, услуг и (или) этапов процессов, оказывающих влияние на осуществление кредитной организацией (головной кредитной организацией банковской группы) критически важных процессов, в том числе с учетом требований подпункта 4.3.3 пункта 4.3 настоящего Положения.

8.1.6.1. Требования к процедуре инициирования передачи функций, операций, услуг и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) (далее - аутсорсинг функций, операций, услуг, этапов процессов) заказчиком аутсорсинга, включая требования к:

выявлению потребности в аутсорсинге функций, операций, услуг, этапов процессов;

анализу целесообразности аутсорсинга функций, операций, услуг, этапов процессов.

Кредитная организация (головная кредитная организация банковской группы) выявляет потребность в аутсорсинге функций, операций, услуг, этапов процессов следующими способами:

анализ базы событий на предмет выявления узких мест и концентрации рисков на отдельных этапах процессов кредитной организации (головной кредитной организации банковской группы);

анализ результатов качественной оценки операционного риска, проводимой в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения;

анализ результатов оценки эффективности управления операционным риском, проводимой в соответствии с пунктом 2.5 настоящего Положения;

другими способами, указанными в подпункте 2.1.1 пункта 2.1 настоящего Положения.

Заказчик аутсорсинга проводит анализ целесообразности аутсорсинга функций, операций, услуг, этапов процессов, включая:

анализ текущих ограничений передачи на аутсорсинг функций, операций, услуг, этапов процессов;

анализ ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от передачи на аутсорсинг функций, операций, услуг, этапов процессов;

выявление и оценку рисков, связанных с аутсорсингом функций, операций, услуг, этапов процессов;

формирование предложений по составу третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым могут быть переданы на выполнение (аутсорсинг) функции, операции, услуги, этапов процессов.

В рамках анализа текущих ограничений аутсорсинга функций, операций, услуг, этапов процессов заказчик аутсорсинга проводит анализ:

законодательных требований и (или) ограничений в отношении выполнения функций, операций, услуг, этапов процессов;

наличия лицензионных требований и (или) ограничений в отношении функций, операций, услуг, этапов процессов;

рынка, включая сравнение средней рыночной стоимости аутсорсинга функций, операций, услуг, этапов процессов, в том числе с учетом первичных и последующих затрат на их выполнение, в сопоставлении с размером инвестиций в организацию и обеспечение выполнения данных функций, операций, услуг, этапов процессов собственными силами кредитной организации (головной кредитной организации банковской группы);

возможности выполнения с учетом оценки необходимых ресурсов и ожидаемой стоимости выполнения данных функций, операций, услуг, этапов процессов собственными силами кредитной организации (головной кредитной организации банковской группы).

Проведение анализа целесообразности аутсорсинга включает проведение оценки ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от аутсорсинга функций, операций, услуг, этапов процессов, в том числе в виде следующего:

снижение и контроль операционных расходов;

обеспечение выполнения функций, операций, услуг и (или) этапов процессов в отсутствие необходимых кадровых ресурсов внутри кредитной организации (головной кредитной организации банковской группы);

высвобождение кадровых ресурсов внутри кредитной организации (головной кредитной организации банковской группы) для целей выполнения иных задач;

повышение гибкости функционирования кредитной организации (головной кредитной организации банковской группы);

улучшение качества выполнения функций, операций, услуг, этапов процессов;

возможность применения новых и (или) усовершенствованных технологий;

ускорение реорганизации (реинжиниринга) бизнес-процессов;

сокращение времени выхода на рынок;

увеличение объемов и (или) масштаба деятельности;

передача (или частичная передача) риска третьим лицам;

достижение иных стратегических целей кредитной организации (головной кредитной организации банковской группы).

Проведение анализа целесообразности аутсорсинга включает выявление и оценку рисков, возникающих при аутсорсинге функций, операций, услуг, этапов процессов с применением количественных и (или) качественных методов, включая следующие виды рисков кредитной организации (головной кредитной организации банковской группы):

стратегического риска в значении риска реализации потерь кредитной организации (головной кредитной организации банковской группы) в условиях неблагоприятной рыночной конъюнктуры и (или) принятия неверных управленческих решений;

риска потери деловой репутации;

операционного риска;

правового риска;

странового риска в значении риска реализации потерь кредитной организации (головной кредитной организации банковской группы) в условиях применения к третьему лицу (внешнему подрядчику, контрагенту, участнику банковской группы) юрисдикции, отличной от юрисдикции, применяемой к кредитной организации (головной кредитной организации банковской группы), включая случаи трансграничной передачи данных кредитной организации (головной кредитной организации банковской группы);

риска концентрации на поставщика в значении риска потерь кредитной организации (головной кредитной организации банковской группы), обусловленного зависимостью выполнения двух и более функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы) от ограниченного количества третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

иных рисков, возникающих при аутсорсинге функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы).

Результаты проведенного анализа целесообразности аутсорсинга оформляются заказчиком аутсорсинга в виде заключения и направляются на рассмотрение в подразделение, ответственное за организацию аутсорсинга.

8.1.6.2. Требования к независимой оценке предложения о передаче функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы) на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), включая требования к:

независимой оценке рисков, связанных с аутсорсингом функций, операций, услуг, этапов процессов;

независимой оценке обоснованности выводов, представленных заказчиком аутсорсинга в заключении о целесообразности аутсорсинга функций, операций, услуг, этапов процессов.

Подразделение, ответственное за организацию аутсорсинга, осуществляет выявление и оценку рисков, возникающих при аутсорсинге функций, операций, услуг, этапов процессов и указанных в абзацах тридцать втором-тридцать восьмом подпункта 8.1.6.1 настоящего пункта.

В случаях предложения о передаче функций, операций, услуг, этапов процессов на выполнение (аутсорсинг) внутренним подрядчикам, контрагентам, связанным с кредитной организацией (головной кредитной организацией банковской группы) (участникам банковской группы), подразделение, ответственное за организацию аутсорсинга, дополнительно проводит:

анализ рентабельности предоставления услуг внутренними подрядчиками, контрагентами, связанными с кредитной организацией (головной кредитной организацией банковской группы) (участниками банковской группы);

выявление и оценку влияния рисков внутренних подрядчиков, контрагентов, связанных с кредитной организацией (головной кредитной организацией банковской группы) (участников банковской группы);

оценку целесообразности аутсорсинга с учетом взаимосвязей между кредитной организацией (головной кредитной организацией банковской группы) и внутренними подрядчиками, контрагентами, связанными с кредитной организацией (головной кредитной организацией банковской группы) (участниками банковской группы).

Подразделение, ответственное за организацию аутсорсинга, проводит независимую оценку обоснованности выводов, представленных заказчиком аутсорсинга в заключении о целесообразности аутсорсинга функций, операций, услуг, этапов процессов.

Подразделение, ответственное за организацию аутсорсинга, формирует комплексное заключение о целесообразности передачи на аутсорсинг функций, операций, услуг, этапов процессов, на основе результатов проведенной им независимой оценки в соответствии с настоящим подпунктом.

8.1.6.3. Требования к процедуре принятия решения о передаче на аутсорсинг функций, операций, услуг, этапов процессов.

Коллегиальный исполнительный орган или специализированный комитет (специализированные комитеты) кредитной организации (головной кредитной организации банковской группы), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы), рассматривает предложение о передаче на аутсорсинг функций, операций, услуг, этапов процессов на основе заключения, подготовленного заказчиком аутсорсинга по результатам проведенного анализа целесообразности аутсорсинга, и комплексного заключения о целесообразности передачи на аутсорсинг функций, операций, услуг, этапов процессов, представленного подразделением, ответственным за организацию аутсорсинга.

Коллегиальный исполнительный орган или специализированный комитет (специализированные комитеты) кредитной организации (головной кредитной организации банковской группы), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы), принимает решение о передаче на аутсорсинг функций, операций, услуг, этапов процессов:

утверждает передачу функций, операций, услуг, этапов процессов на аутсорсинг;

отправляет на уточнение предложение о передаче функций, операций, услуг, этапов процессов на аутсорсинг;

принимает решение выполнять функции, операции, услуги, этапов процессов собственными силами кредитной организации (головной кредитной организации банковской группы).

Решение коллегиального исполнительного органа или специализированного комитета (специализированных комитетов) кредитной организации (головной кредитной организации банковской группы), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы), также включает:

условия передачи на аутсорсинг функций, операций, услуг, этапов процессов, в том числе стоимость предоставления соответствующих услуг, состав третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым могут быть переданы отдельные функции, операции, услуги, этапов процессов, требования и параметры их передачи на аутсорсинг;

способы проведения процедуры выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе конкурентными способами (конкурс (открытый, закрытый, с ограниченным участием и иные), аукцион, запрос котировок, запрос предложений) или другими способами (передача на аутсорсинг единственному подрядчику, контрагенту, участнику банковской группы);

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах и соблюдает порядок принятия решения о передаче на аутсорсинг функций, операций, услуг, этапов процессов.

8.1.6.4. Требования к процедуре выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) для передачи им на выполнение (аутсорсинг) функций, операций, услуг, этапов процессов.

Подразделение, ответственное за организацию аутсорсинга, во взаимодействии с заказчиком аутсорсинга и другими подразделениями кредитной организации (головной кредитной организации банковской группы) определяет в соответствии с решением коллегиального исполнительного органа или специализированного комитета (специализированных комитетов) кредитной организации (головной кредитной организации банковской группы), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы), и на основе проведенного анализа рисков, связанных с аутсорсингом функций, операций, услуг, этапов процессов, и комплексного заключения о его целесообразности требования к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), включая экономические, технические требования, требования к опыту предоставления соответствующих услуг и иные требования.

Заказчик аутсорсинга и (или) подразделение, ответственное за закупки, в соответствии с данными требованиями определяет в рамках подготовки процедуры выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) конкурентными способами детальные функциональные требования и критерии выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

Заказчик аутсорсинга и (или) подразделение, ответственное за закупки, с учетом всех требований формирует в рамках подготовки процедуры выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) конкурентными способами перечень соответствующих им третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в составе не менее трех кандидатов, и инициирует процедуру выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

Заказчик аутсорсинга и (или) подразделение, ответственное за закупки, в рамках осуществления процедуры выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) конкурентными способами проводит анализ третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе анализ их соответствия определенным в соответствии с абзацами вторым, третьим настоящего подпункта требованиям к:

наличию специализации (квалификации) и ресурсного обеспечения третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе поставщиков услуг аутсорсинга ИТ и облачных услуг, достаточных для выполнения функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы);

наличию лицензий и сертификатов третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), необходимых для выполнения функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы), а также их соответствия иным требованиям действующего законодательства;

способности третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) выполнять функции, операции, услуги, этапы процессов кредитной организации (головной кредитной организации банковской группы) в необходимом объеме и на заданном уровне;

финансовому положению третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

деловой репутации третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

вероятности наступления сбоев в предоставлении услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) и потенциальных потерь кредитной организации (головной кредитной организации банковской группы), связанных с восстановлением выполнения функций, операций, услуг, этапов процессов;

отсутствию экономических, правовых, операционных и иных ограничений, возникающих при передаче функций, операций, услуг, этапов процессов на аутсорсинг в случае применения к третьему лицу (внешнему подрядчику, контрагенту, участнику банковской группы) юрисдикции, отличной от юрисдикции, применяемой к кредитной организации (головной кредитной организации банковской группы), включая случаи трансграничной передачи данных кредитной организации (головной кредитной организации банковской группы);

стоимости и условиям предоставления услуг третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

наличию и (или) отсутствию аффилированных связей между работниками кредитной организации (головной кредитной организации банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

иным требованиям в зависимости от характера и особенностей функций, операций, услуг, этапов процессов, передаваемых на аутсорсинг, определенных в соответствии с настоящим подпунктом.

Кредитная организация (головная кредитная организация банковской группы) определяет требования и критерии выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) до начала проведения их анализа и последующего взаимодействия с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы).

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок подготовки и осуществления процедуры выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) с учетом требований настоящего подпункта.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок и условия осуществления процедуры выбора и передачи функций, операций, услуг, этапов процессов на аутсорсинг единственному подрядчику, контрагенту, участнику банковской группы и устанавливает дополнительные процедуры выявления и контроля рисков, возникающих при передаче функций, операций, услуг, этапов процессов на аутсорсинг единственному подрядчику, контрагенту, участнику банковской группы.

8.1.6.5. Требования к процедуре оформления договорной базы аутсорсинга функций, операций, услуг, этапов процессов, включая требования к:

составлению договоров и иной документации, определяющих порядок выполнения функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы) третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

определению порядка взаимодействия кредитной организации (головной кредитной организации банковской группы) и третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе вовлечения информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

процедурам управления операционным риском в части функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы), переданных на выполнение (аутсорсинг), в том числе требования к уровню операционной устойчивости третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), обеспечивающие соблюдение принятых кредитной организацией (головной кредитной организацией банковской группы) значений контрольных показателей уровня операционного риска.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок составления и согласования договоров и иной документации, определяющей порядок выполнения функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы) третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), в том числе следующие требования к их составу:

детальное описание функций, операций, услуг, этапов процессов, передаваемых на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);

объем и уровень предоставления услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

обеспечение доступа кредитной организации (головной кредитной организации банковской группы) к информации, обеспечивающей выполнение функций, операций, услуг, этапов процессов;

требования к обеспечению непрерывности и (или) восстановления выполняемых функций, операций, услуг, этапов процессов и (или) функционирования информационных систем, обеспечивающих выполнение функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы);

требования к процедурам управления операционным риском, в том числе требований к процедурам контроля за выполнением функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы);

требования к ведению базы событий и предоставления информации о событиях операционного риска, оказывающих влияние на выполнение третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы);

состав и порядок предоставления отчетов и иной информации, обеспечивающих осуществление кредитной организацией (головной кредитной организацией банковской группы) мониторинга и оценки уровня оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

положения о конфиденциальности, включая условия передачи конфиденциальной информации, связанной с выполнением функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы) и предоставления доступа к ней третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

условия обработки, передачи, хранения и уничтожения персональных данных клиентов и (или) сотрудников кредитной организации (головной кредитной организации банковской группы);

требования к обеспечению защиты информации;

условия расторжения (прекращения) договора;

порядок прекращения отношений с учетом требований подпункта 8.1.6.7 настоящего пункта;

условия привлечения иных третьих лиц (внешних субподрядчиков) при выполнении функций, операций, услуг, этапов процессов;

ответственность за несоблюдение условий договоров, включая ответственность за несоблюдение условий, определенных в абзацах тринадцатом-семнадцатом настоящего подпункта;

иные существенные положения договора в зависимости от характера функций, операций, услуг, этапов процессов, передаваемых кредитной организацией (головной кредитной организацией банковской группы) на выполнение (аутсорсинг).

Кредитная организация (головная кредитная организация банковской группы) определяет порядок взаимодействия с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), в том числе функции, полномочия и ответственность сторон, а также порядок обеспечения доступа, эксплуатации, поддержки и завершения эксплуатации информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), обеспечивающих выполнение функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы), передаваемых на выполнение (аутсорсинг).

8.1.6.6. Требования к процедуре мониторинга качества выполнения функций, операций, услуг, этапов процессов, переданных на аутсорсинг, и текущих рисков, связанных с аутсорсингом функций, операций, услуг, этапов процессов.

Кредитная организация (головная кредитная организация банковской группы) определяет обязанности заказчика аутсорсинга и подразделения, ответственного за аутсорсинг, в рамках осуществления процедуры мониторинга выполнения функций, операций, услуг, этапов процессов, переданных на аутсорсинг, и текущих рисков, связанных с аутсорсингом функций, операций, услуг, этапов процессов, включающие следующие мероприятия:

мониторинг соблюдения установленных значений показателей объема и уровня предоставления услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

анализ отчетности и информации, предоставляемой третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

выявление и оценка операционных рисков при выполнении функций, операций, услуг, этапов процессов, переданных на аутсорсинг, включая процедуру качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 и подпунктом 8.1.7.1 пункта 8.1.7 настоящего Положения;

повторный анализ целесообразности аутсорсинга, включая анализ изменений на рынке услуг, в том числе анализ стоимости оказания услуг, сравнения предложения других третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), анализ новых технологий на рынке;

пересмотр текущих договоров с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), в том числе оценка целесообразности их продления или замены, с учетом результатов повторного анализа целесообразности аутсорсинга.

По результатам мониторинга ответственные подразделения формируют сводный отчет о качестве выполнения функций, операций, услуг, этапов процессов, переданных на аутсорсинг, и направляют его на рассмотрение коллегиальному исполнительному органу или специализированному комитету (специализированным комитетам) кредитной организации (головной кредитной организации банковской группы), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы), не реже одного раза в год.

Коллегиальный исполнительный орган или специализированный комитет (специализированные комитеты) кредитной организации (головной кредитной организации банковской группы), если это предусмотрено внутренними документами кредитной организации (головной кредитной организации банковской группы), по результатам рассмотрения данных отчетов принимает (принимают) решение о продолжении взаимодействия с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), пересмотре условий текущих договоров с ними, прекращении взаимодействия с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) в рамках выполнения функций, операций, услуг, этапов процессов и (или) иные решения.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок и периодичность проведения мероприятий, указанных в настоящем подпункте (не реже одного раза в год).

8.1.6.7. Требования к процедуре прекращения отношений с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), включая требования к:

прекращению эксплуатации и (или) возврату информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) в случае их вовлечения в осуществление аутсорсинга;

передаче данных и носителей данных, накопленных в процессе выполнения функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы);

прекращению доступа к данным и информационным хранилищам данных, к которым был предоставлен доступ третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) в процессе выполнения функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы);

уничтожению данных и иной информации на аппаратных средствах, носителях и (или) в информационных хранилищах данных третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) под контролем представителей кредитной организации (головной кредитной организации банковской группы);

уничтожению персональных данных клиентов и (или) сотрудников кредитной организации (головной кредитной организации банковской группы) на аппаратных средствах, носителях и (или) в информационных хранилищах данных третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в случае осуществления их передачи, обработки и хранения в рамках осуществления функций, операций, услуг, этапов процессов, переданных на аутсорсинг, под контролем представителей кредитной организации (головной кредитной организации банковской группы);

составлению акта о расторжении (прекращении) договора, в том числе осуществлению взаиморасчета и подтверждению отсутствия задолженности между сторонами.

8.1.7. Кредитная организация (головная кредитная организация банковской группы) в дополнение к процедурам, описанным в главе 2 настоящего Положения, определяет во внутренних документах мероприятия и процедуры управления риском аутсорсинга.

8.1.7.1. Процедура качественной оценки уровня риска аутсорсинга функций, операций, услуг, этапов процессов, проводимая в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения, в том числе с учетом внутренних и внешних факторов, связанных с осуществлением аутсорсинга.

Кредитная организация (головная кредитная организация банковской группы) при проведении оценки риска аутсорсинга оценивает внешние факторы, связанные с его осуществлением, в том числе:

величину возможного негативного влияния, в том числе величину финансовых потерь, потери деловой репутации и иных видов потерь кредитной организации (головной кредитной организации банковской группы), в случае сбоев в предоставлении услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

величину потерь средств клиентов и контрагентов в случае отказа в предоставлении услуг третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

возможное влияние передачи отдельных функций, операций, услуг, этапов процессов на аутсорсинг на соблюдение кредитной организацией (головной кредитной организацией банковской группы) действующего законодательства;

величину возможного негативного влияния, в том числе величину финансовых потерь, потери деловой репутации и иных видов потерь кредитной организации (головной кредитной организации банковской группы), в случае нарушения обеспечения защиты информации и (или) доступа к ней кредитной организации (головной кредитной организации банковской группы);

иные внешние факторы, оказывающие влияние на уровень риска аутсорсинга.

Кредитная организация (головная кредитная организация банковской группы) при проведении процедуры качественной оценки уровня риска аутсорсинга оценивает в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения внутренние факторы, связанные с его осуществлением, в том числе:

взаимосвязи между процессами и (или) объектами информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы), с учетом зависимости от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

сложность выполнения функций, операций, услуг, этапов процессов, переданных на аутсорсинг и ее влияния на возможность замены выполнения данных функций, операций, услуг, элементов процессов другим третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы) или кредитной организацией (головной кредитной организацией банковской группы);

наличие аффилированных связей между кредитной организацией (головной кредитной организацией банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

стоимость услуг;

иные внутренние факторы, оказывающие влияние на уровень риска аутсорсинга.

Кредитная организация (головная кредитная организация банковской группы) проводит оценку риска аутсорсинга ИТ и использования облачных услуг в том числе путем определения вероятности реализации и величины возможного негативного влияния от реализации угроз, моделирование которых осуществляется в соответствии с абзацем девятнадцатым подпункта 2.1.5 пункта 2.1 настоящего Положения.

Кредитная организация (головная кредитная организация банковской группы) проводит оценку риска аутсорсинга до начала осуществления аутсорсинга функций, операций, услуг и (или) этапов процессов, а также включает ее в план проведения качественной оценки на ежегодной основе в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения.

8.1.7.2. Выявление, регистрация и учет всех событий риска аутсорсинга с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, в том числе с указанием внутренних и (или) внешних источников реализации таких событий и информации о третьих лицах (внешних подрядчиках, контрагентах, участниках банковской группы), выполняющих соответствующие функции, операции, услуги, этапы процессов кредитной организации (головной кредитной организации банковской группы), и с указанием видов и величины потерь от реализации события риска аутсорсинга, в том числе последствий в виде реализации других видов риска (риск потери деловой репутации, правовой риск, стратегический риск, риск нарушения непрерывности деятельности и другие).

8.1.7.3. Мониторинг риска аутсорсинга, осуществляемый в соответствии с подпунктом 2.1.7 пункта 2.1 настоящего Положения, включая мониторинг соответствия фактических значений контрольных показателей уровня риска аутсорсинга принятым в кредитной организации (головной кредитной организации банковской группы) сигнальным и контрольным значениям.

8.1.7.4. Комплекс мероприятий, разрабатываемый в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения, включая мероприятия, направленные на предотвращение и (или) снижение вероятности реализации риска аутсорсинга, и мероприятия, направленные на ограничение размера потерь от реализации риска аутсорсинга.

Комплекс мероприятий, направленный на предотвращение и (или) снижение вероятности реализации риска аутсорсинга, включает:

реализацию кредитной организацией (головной кредитной организацией банковской группы) процедур контроля за выполнением функций, операций, услуг, этапов процессов третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

реализацию кредитной организацией (головной кредитной организацией банковской группы) процедур контроля за выполнением третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) требований договоров о предоставлении услуг;

реализацию кредитной организацией (головной кредитной организацией банковской группы) процедур контроля за соблюдением третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) требований к системе управления операционным риском;

регулярное взаимодействие и мониторинг отношений с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

мониторинг взаимосвязей между третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

мониторинг уровня концентрации функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы) на одного или нескольких третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

Комплекс мероприятий, направленных на ограничение размера потерь от реализации событий риска аутсорсинга, включает:

штрафы за нарушение условий выполнения функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы), предусмотренные в договорах с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

наличие договоров с другими (резервными) третьими лицами (внешними подрядчиками, контрагентам, участникам банковской группы) и (или) иных стратегий прекращения отношений с третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы) по передаче ему функций, операций, услуг, этапов процессов на аутсорсинг;

анализ планов и результатов тестирования планов по обеспечению непрерывности и (или) восстановления выполняемых функций, операций, услуг, этапов процессов и (или) функционирования информационных систем, обеспечивающих выполнение функций, операций, услуг, этапов процессов кредитной организации (головной кредитной организации банковской группы), третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

планирование и тестирование планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем кредитной организации (головной кредитной организации банковской группы) с учетом их зависимости от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и возможности их замещения;

мероприятия, направленные на выполнение обязательств кредитной организации (головной кредитной организации банковской группы) перед Банком России и исполнительными органами государственной власти в рамках выполнения надзорных (контрольных) мероприятий.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок и периодичность проведения комплекса мероприятий, указанных в настоящем подпункте (не реже одного раза в год).

8.1.7.5. В целях контроля за уровнем риска аутсорсинга кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах на плановый годовой период контрольные показатели уровня риска аутсорсинга, а также устанавливает сигнальные и контрольные значения этих показателей.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок определения контрольных показателей уровня риска аутсорсинга, а также установления сигнальных и контрольных значений этих показателей с учетом требований главы 5 настоящего Положения.

8.1.8. Кредитная организация (головная кредитная организация банковской группы) определяет выполнение подразделением, ответственным за организацию аутсорсинга, следующих функций.

8.1.8.1. В целях обеспечения функционирования аутсорсинга:

разработка политики аутсорсинга;

контроль соблюдения работниками кредитной организации (головной кредитной организации банковской группы) политики аутсорсинга;

осуществление планирования и контроля обеспечения функционирования аутсорсинга в рамках комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга;

разработка предложений по совершенствованию процедур обеспечения функционирования аутсорсинга, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга;

составление отчетов по обеспечению функционирования аутсорсинга и направление их на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы);

осуществление других функций, связанных с обеспечением функционирования аутсорсинга, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

8.1.8.1. В целях управления риском аутсорсинга:

соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска аутсорсинга и потерях в базе событий, мониторинга риска аутсорсинга, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска, и третьими лицами (внешними подрядчиками, контрагентам, участникам банковской группы);

участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга;

составление отчетов по событиям риска аутсорсинга и направление их в службу управления рисками;

осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска аутсорсинга;

участие в разработке внутренних документов в области управления риском аутсорсинга;

консультирование работников кредитной организации (головной кредитной организации банковской группы) по вопросам, связанным с управлением риском аутсорсинга;

осуществление других функций, связанных с управлением риском аутсорсинга, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

8.1.9. Кредитная организация (головная кредитная организация банковской группы) обеспечивает контроль за соблюдением требований к процедурам управления риском аутсорсинга.

8.1.10. Подразделение, ответственное за организацию аутсорсинга, формирует специализированные отчеты по риску аутсорсинга, направляемые на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), в дополнение к отчетам, формируемым подразделением, ответственным за организацию управления операционным риском, в соответствии с пунктом 4.2 настоящего Положения.

Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах порядок и сроки предоставления данных отчетов.

8.1.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных настоящей главой, в рамках оценки эффективности системы управления операционным риском.".

1.8. Абзац второй подпункта 9.1.1 пункта 9.1 изложить в следующей редакции:

"требования глав 1, 3 - 8.1 настоящего Положения и приложений 1, 2, 4 - 6 к настоящему Положению;".

1.9. Абзац второй подпункта 9.2.1 пункта 9.2 изложить в следующей редакции:

"требования глав 1, 3, 5 - 8.1 настоящего Положения и приложений 1, 2, 4 - 6 к настоящему Положению;".

1.10. Абзац второй подпункта 9.3.1 пункта 9.3 изложить в следующей редакции:

"требования глав 1, 3, 5 - 7, 8.1 настоящего Положения и приложений 2, 4 - 6 к настоящему Положению;".

1.11. Абзац второй пункта 9.4 изложить в следующей редакции:

"требования глав 1, 3, 6, 8.1 настоящего Положения и приложений 4 - 6 к настоящему Положению;".

1.12. Дополнить приложением 4 ¹ в редакции приложения 1 к настоящему Указанию.

1.13. Дополнить приложением 6 в редакции приложения 2 к настоящему Указанию.

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ ___________ 2022 года N ПСД-______) вступает в силу с 1 апреля 2023 года.

Председатель Центрального банка Российской Федерации

------------------------------

¹ Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2013, N 27, ст. 3438; 2019, N 49, ст. 6953.

² Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 2013, N 27, ст. 3438.

³ Зарегистрировано Минюстом России 3 июня 2020 года, регистрационный N 58577, с изменениями, внесенными Указанием Банка России от 25 марта 2022 года N 6103-У (зарегистрировано Минюстом России ________ 2022 года, регистрационный N _____).

⁴ Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2017, N 27, ст. 3950

------------------------------

Приложение 1
к Указанию Банка России
от __________ 2022 года N ______
"О внесении изменений в Положение
Банка России от 8 апреля 2020 года N 716-П
"О требованиях к системе управления операционным
риском в кредитной организации и банковской группе""

"Приложение 4.1
к Положению Банка России
от 8 апреля 2020 года N 716-П
"О требованиях к системе управления операционным
риском в кредитной организации и банковской группе"

Подходы к дополнительной классификации риска недобросовестного поведения

1. Кредитная организация (головная кредитная организация банковской группы) дополнительно классифицирует события риска недобросовестного поведения в разрезе следующих типов событий:

1.1. Нарушение прав клиентов вследствие действий со стороны кредитной организации по предоставлению неполной и (или) недостоверной информация о договоре, сделке и возникающих при исполнении договора, сделки рисках:

1.1.1. Нарушение прав клиентов вследствие действий со стороны кредитной организации по продаже финансовых и нефинансовых услуг, не отвечающих интересам клиентов (продажа неподходящих услуг);

1.1.2. Нарушение прав клиентов вследствие действий со стороны кредитной организации по искажению и (или) предоставлению клиенту неполной и (или) недостоверной информации относительно размера комиссий, стоимости финансовой и нефинансовой услуги;

1.1.3. Нарушение прав клиентов вследствие действий со стороны кредитной организации по навязыванию клиенту приобретения финансовой и нефинансовой услуги;

1.1.4. Нарушение прав клиентов вследствие действий со стороны кредитной организации по предложению одной финансовой и нефинансовой услуги под видом другой;

1.2. Нарушение прав клиентов вследствие нарушений кредитной организацией законодательства Российской Федерации в сфере защиты прав потребителей финансовых и нефинансовых услуг (включая Федеральный закон от 21 декабря 2013 года N 353-ФЗ "О потребительском кредите (займе)" ⁵, Федеральный закон от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" ⁶);

1.3. Иные нарушения прав клиентов вследствие действий со стороны кредитной организации, содержащих нарушения установленных в кредитной организации внутренних документов, разработанных в соответствии с подпунктом 4.3.5 пункта 4.3 настоящего Положения.".

------------------------------

⁵ Собрание законодательства Российской Федерации, 2013, N 51, ст. 6673.

⁶ Собрание законодательства Российской Федерации, 2005, N 1 (часть 1), ст. 44.

------------------------------

Приложение 2
к Указанию Банка России
от __________ 2022 года N ______
"О внесении изменений в Положение
Банка России от 8 апреля 2020 года N 716-П
"О требованиях к системе управления операционным
риском в кредитной организации и банковской группе""

"Приложение 6
к Положению Банка России
от 8 апреля 2020 года N 716-П
"О требованиях к системе управления операционным
риском в кредитной организации и банковской группе"

Рекомендуемые подходы к определению аутсорсинга и составу функций, операций, услуг и (или) этапов процессов, передаваемым на аутсорсинг

1. Кредитная организация (головная кредитная организация банковской группы) определяет аутсорсинг как договоренность (соглашение) в любой форме между кредитной организацией (головной кредитной организацией банковской группы) и третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы), в соответствии с которой третье лицо (внешний подрядчик, контрагент, участник банковской группы) выполняет функции, операции, услуги и (или) этапы процессов кредитной организации (головной кредитной организацией банковской группы), которые в иных случаях кредитная организация (головная кредитная организация банковской группы) выполняла бы самостоятельно.

2. Кредитная организация (головная кредитная организация банковской группы) при заключении соглашения с третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы) о выполнении функций, операций, услуг и (или) этапов процессов определяет, подходит ли данное соглашение под определение аутсорсинга. Для этого кредитная организация (головная кредитная организация банковской группы) должна определить, выполняется ли данная функция, операция, услуга и (или) этапы процессов третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы) на возобновляемой или постоянной основе, а также является ли данная функция, операция, услуга и (или) этапы процессов функцией, операцией, услугой и (или) этапами процессов, которые кредитная организация (головная кредитная организация банковской группы) может или могла бы выполнять самостоятельно, в независимости от того выполнялась ли она ей ранее. При несоблюдении указанных условий, соглашение с третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы) о передаче функций, операций, услуг и (или) этапов процессов на выполнение им не расценивается кредитной организацией (головной кредитной организацией банковской группы) как аутсорсинг.

3. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах перечень функций, операций, услуг и (или) этапов процессов, которые при их передаче на выполнение третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), признаются аутсорсингом.

4. Кредитная организация (головная кредитная организация банковской группы) вправе не рассматривать в качестве аутсорсинга передачу на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) следующих функций, операций, услуг и (или) этапов процессов:

функций, выполнение которых с привлечением третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) требуется нормативными актами Российской Федерации (в том числе проведение обязательного внешнего аудита);

информационных услуг;

услуг глобальных сетевых инфраструктур (в том числе глобальных платежных систем);

услуг по проведению клиринга (взаимозачета) и расчетов с расчетными палатами, центральными контрагентами, расчетными учреждениями и их членами;

услуг глобальных инфраструктур (систем) обмена финансовыми сообщениями;

услуг корреспондентского банковского обслуживания;

функций, операций, услуг и (или) этапов процессов, которые в иных случаях кредитная организация (головная кредитная организация банковской группы) не выполняла бы собственными силами (в том числе консультационные услуги, юридическое сопровождение, включая представление интересов кредитной организации (головной кредитной организации банковской группы) в суде, клининговые услуги и иные услуги по обслуживанию зданий и помещений, медицинские услуги, техническое обслуживание автомобилей, услуги кейтеринга, обслуживание вендинговых автоматов, услуги туристических агентств, услуги секретаря приемной, коммунальные услуги, услуги связи и другие), а также приобретение товаров (в том числе пластиковых карт, картридеров, канцелярских принадлежностей, персональных компьютеров и оборудования, мебели).".

Пояснительная записка
к проекту Указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"

Банк России подготовил проект указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - проект указания) и направляет его на публичное обсуждение с банковским сообществом.

Целью проекта указания является установление дополнительных требований к управлению отдельными видами операционного риска в кредитных организациях.

Проект указания также содержит ряд правок технического характера и уточняющих правок.

Планируемый срок вступления в силу проекта указания - 1 апреля 2023 года.

Ответственным структурным подразделением Банка России за подготовку данного проекта указания является Департамент надзора за системно значимыми кредитными организациями.

Предложения и замечания по проекту указания принимаются до 30 июня 2022 года по адресу электронной почты: grigorevps@cbr.ru.