Вход
Указание Банка России от 22 октября 2024 г. N 6906-У "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (документ не вступил в силу)
Указание Банка России от 22 октября 2024 г. N 6906-У
"О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
На основании части первой статьи 11 1-2 Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) и статьи 57 1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)":
1. Внести в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" 1 следующие изменения:.
1.1. В пункте 1.4:
абзац девятый изложить в следующей редакции:
"риск нарушения прав и законных интересов и (или) возникновения потерь средств клиентов, контрагентов, работников и третьих лиц вследствие недобросовестного поведения (неправомерных действий или бездействия) со стороны кредитной организации (головной кредитной организации банковской группы), включая нарушение кредитной организацией (головной кредитной организацией банковской группы) законодательства Российской Федерации, в том числе нормативных актов Банка России, в области защиты прав потребителей, антимонопольного законодательства Российской Федерации, кодексов профессиональной этики, рыночных практик, правил поведения и стандартов деятельности кредитной организации (головной кредитной организации банковской группы) при предложении финансовых и нефинансовых услуг (работ, товаров) (далее - риск недобросовестного поведения);";
абзац тринадцатый изложить в следующей редакции:
"риск недостатков организации и (или) осуществления деятельности кредитной организации (головной кредитной организации банковской группы) по передаче своих функций, операций, услуг, процессов и (или) этапов процессов на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) (далее - аутсорсинг функций, операций, услуг, процессов и (или) этапов процессов), а также невыполнения и (или) неоказания или ненадлежащего выполнения и (или) оказания ими переданных им функций, операций, услуг, процессов и (или) этапов процессов на аутсорсинг (далее - риск аутсорсинга), включая риск аутсорсинга, связанный с размещением, хранением и иной обработкой информации с использованием информационных систем и их компонентов (далее соответственно - аутсорсинг ИС, риск аутсорсинга ИС).";
дополнить абзацем следующего содержания:
"В случае если в кредитной организации (головной кредитной организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.".
1.2. Подпункт 3.6.4 пункта 3.6 изложить в следующей редакции:
"3.6.4. нарушение со стороны кредитной организации прав клиентов, контрагентов и третьих лиц, включая нанесение им ущерба, при оказании им услуг и совершении операций, включая нарушение условий договоров и сохранности конфиденциальной информации, ставшей доступной кредитной организации в процессе взаимодействия с клиентами, контрагентами и третьими лицами по операциям и сделкам при оказании услуг, предоставлении банковских услуг с условием приобретения клиентом сопутствующих услуг кредитной организации или третьих лиц и нарушение законодательства в сфере защиты прав потребителей, а также антимонопольного законодательства (далее - нарушение прав клиентов и контрагентов);".
1.3. Абзац первый пункта 3.12 изложить в следующей редакции:
"3.12. Прямые потери, отраженные на счетах по учету расходов, убытков в бухгалтерском учете в соответствии с Положением Банка России от 24 ноября 2022 года N 810-П "О порядке отражения на счетах бухгалтерского учета кредитными организациями доходов, расходов и прочего совокупного дохода" (зарегистрировано Минюстом России 29 декабря 2022 года, регистрационный N 71868, с изменениями, внесенными Указанием Банка России от 29 мая 2024 года N 6736-У (зарегистрировано Минюстом России 2 июля 2024 года, регистрационный N 78738) и приравненных к ним счетах по учету дебиторской задолженности, переоценка стоимости активов в сторону уменьшения и (или) уменьшение величины собственных средств (капитала) классифицируются кредитной организацией (головной кредитной организацией банковской группы) по следующим видам.".
1.4. В пункте 3.13 слова "организацией (головной кредитной организации" заменить словами "организацией (головной кредитной организацией".
1.5. В пункте 4.1:
абзац третий подпункта 4.1.1 изложить в следующей редакции:
"Критически важные процессы обеспечивают выполнение операций кредитной организации (головной кредитной организации банковской группы), указанных в пунктах 1-4 и 9 части первой статьи 5 Федерального закона "О банках и банковской деятельности", ведение бухгалтерского учета, представление отчетности в Банк России в соответствии с Указанием Банка России от 10 апреля 2023 года N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" (зарегистрировано Минюстом России 16 августа 2023 года, регистрационный N 74823, с изменениями, внесенными Указаниями Банка России от 8 декабря 2023 года N 6621-У (зарегистрировано Минюстом России 22 января 2024 года, регистрационный N 76927), от 12 марта 2024 года N 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный N 78345), от 10 июля 2024 года N 6800-У (зарегистрировано Минюстом России 25 октября 2024 года, регистрационный N 79916), от 4 сентября 2024 года N 6840-У (зарегистрировано Минюстом России 10 октября 2024 года, регистрационный N 79758) (далее - Указание Банка России N 6406-У), поддержание ликвидности, выполнение операций на финансовых рынках, кассовых операций, работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций, соблюдение требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", Трудового кодекса Российской Федерации, Федерального закона "О банках и банковской деятельности" (далее - критически важные операции), и прерывание их функционирования оказывает влияние на выполнение обязательств перед клиентами и контрагентами кредитной организации (головной кредитной организации банковской группы).";
абзац двенадцатый подпункта 4.1.5 после слов "информационную систему" дополнить словами ", а также зависимости критически важного процесса и (или) информационной системы от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и возможности замещения третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы),".
1.6. Абзац четвертый подпункта 4.2.2 пункта 4.2 изложить в следующей редакции:
"о фактических значениях контрольных показателей уровня операционного риска (включая контрольные показатели уровня риска аутсорсинга в соответствии с пунктом 8 1.9 настоящего Положения и контрольные показатели уровня риска информационной безопасности в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению).".
1.7. Пункт 4.3 дополнить подпунктом 4.3.5 следующего содержания:
"4.3.5. Требования к управлению риском недобросовестного поведения, включающие:
правила поведения и стандарты деятельности кредитной организации (головной кредитной организации банковской группы) при взаимодействии с клиентами, контрагентами, работниками и третьими лицами, в том числе при предложении кредитной организацией (головной кредитной организацией банковской группы) финансовых и нефинансовых услуг (работ, товаров);
порядок утверждения и периодичность пересмотра (не реже одного раза в год) правил поведения и стандартов деятельности кредитной организации (головной кредитной организации банковской группы) при взаимодействии с клиентами, контрагентами, работниками и третьими лицами в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением;
перечень мероприятий, направленных на повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы) в части соблюдения прав и законных интересов клиентов, контрагентов, работников и третьих лиц, в том числе при предложении кредитной организацией (головной кредитной организацией банковской группы) финансовых и нефинансовых услуг (работ, товаров);
порядок предупреждения, выявления и контроля конфликта интересов, возникающего в рамках взаимодействия кредитной организации (головной кредитной организации банковской группы) с клиентами, контрагентами, работниками и третьими лицами, в том числе при предложении кредитной организацией (головной кредитной организацией банковской группы) финансовых и нефинансовых услуг (работ, товаров);
порядок выявления и регистрации событий (случаев) фактической реализации риска недобросовестного поведения, вследствие которых возникли прямые и (или) непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска недобросовестного поведения), включающий порядок отражения результатов рассмотрения обращений клиентов, контрагентов, работников и третьих лиц (в том числе поступающих в Банк России и (или) уполномоченному по правам потребителей финансовых услуг), связанных с нарушением их прав и законных интересов в рамках взаимодействия с кредитной организацией (головной кредитной организацией банковской группы), третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), которым переданы на аутсорсинг функции, операции, услуги, процессы и (или) этапы процессов кредитной организации (головной кредитной организации банковской группы), в том числе при предложении кредитной организацией (головной кредитной организацией банковской группы) финансовых и нефинансовых услуг (работ, товаров) (при наличии указанных обращений);
периодичность и порядок проведения анализа динамики поступления обращений, указанных в абзаце шестом настоящего подпункта, и анализа причин их возникновения, а также планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на снижение количества обращений.
Кредитная организация (головная кредитная организация банковской группы) выявляет, регистрирует и учитывает события риска недобросовестного поведения с определением элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 4 1 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения. Кредитная организация (головная кредитная организация банковской группы) регистрирует и учитывает в базе событий события риска недобросовестного поведения в разрезе следующих категорий лиц, права и законные интересы которых нарушаются: клиенты - физические лица, клиенты - индивидуальные предприниматели, клиенты - лица, занимающиеся частной практикой, клиенты - юридические лица, контрагенты, работники, третьи лица.".
1.8. Абзац пятый пункта 6.5 дополнить предложением следующего содержания: "В случае если потери относятся только к качественным потерям, порог регистрации в базе событий составляет не выше уровня качественных потерь, оценка значимости которых в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения соотносится с уровнем "высокий".".
1.9. Абзац первый пункта 7.3 изложить в следующей редакции:
"7.3. Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286) (далее - Положение Банка России N 821-П) и Положением Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (зарегистрировано Минюстом России 16 мая 2019 года, регистрационный N 54637, с изменениями, внесенными указаниями Банка России от 18 февраля 2022 года N 6071-У (зарегистрировано Минюстом России 20 июня 2022 года, регистрационный N 68919), от 6 декабря 2023 года N 6620-У (зарегистрировано Минюстом России 22 декабря 2023 года, регистрационный N 76546) (далее - Положение Банка России N 683-П) (далее - инциденты защиты информации), вследствие которых возникли прямые и (или) непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска информационной безопасности), фиксируются кредитной организацией (головной кредитной организацией банковской группы) в базе событий с присвоением вида операционного риска в соответствии с абзацем семнадцатым пункта 6.6 настоящего Положения.".
1.10. Пункт 7.7 дополнить абзацем следующего содержания:
"меры по защите информации при обработке (хранении, уничтожении) информации, ограничение доступа к которой установлено в соответствии с частью 1 статьи 9 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".".
1.11. В пункте 8.7:
абзац седьмой дополнить словами "с соблюдением требований главы 8 1 настоящего Положения";
абзац восьмой дополнить словами ", с соблюдением требований главы 8 1 настоящего Положения";
абзац первый подпункта 8.7.3 после слова "систем" дополнить словами "с соблюдением требований главы 8 1 настоящего Положения".
1.12. Дополнить главой 8 1 следующего содержания:
"Глава 8 1. Управление риском аутсорсинга
8 1.1. Кредитная организация (головная кредитная организация банковской группы) определяет следующие элементы управления риском аутсорсинга:
перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы), передаваемых на аутсорсинг, определяемый в соответствии с приложением 6 к настоящему Положению;
основные принципы организации управления риском аутсорсинга, включая условия и ограничения аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов;
перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы), которые не подлежат передаче на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);
организационную структуру управления риском аутсорсинга в кредитной организации (головной кредитной организации банковской группы), в том числе исключающую конфликт интересов в рамках управления риском аутсорсинга, а также предполагающую определение специализированного подразделения (специализированных подразделений) кредитной организации (головной кредитной организации банковской группы), ответственного (ответственных) за организацию аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов (далее соответственно - организация аутсорсинга, подразделение, ответственное за организацию аутсорсинга), не являющегося (не являющихся) подразделением (подразделениями) кредитной организации (головной кредитной организации банковской группы) - заказчиком (заказчиками) аутсорсинга, ответственным (ответственными) за осуществление функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) (далее - заказчик аутсорсинга);
требования к созданию ресурсного (кадрового и финансового) обеспечения для организации аутсорсинга;
мероприятия и процедуры управления риском аутсорсинга;
сигнальные и контрольные значения контрольных показателей уровня риска аутсорсинга, устанавливаемые в соответствии с пунктом 8 1.9 настоящего Положения;
основные принципы организации контроля за организацией аутсорсинга.
8 1.2. Кредитная организация (головная кредитная организация банковской группы) для целей управления риском аутсорсинга, в том числе риском аутсорсинга ИС, определяет:
функции и полномочия подразделений кредитной организации (головной кредитной организации банковской группы) в рамках управления риском аутсорсинга;
порядок организации ресурсного (кадрового и финансового) обеспечения кредитной организации (головной кредитной организации банковской группы), включая установление требований к квалификации работников подразделения, ответственного за организацию аутсорсинга;
порядок идентификации риска аутсорсинга, а также оценки его уровня в соответствии с подпунктами 2.1.1, 2.1.4 и 2.1.5 пункта 2.1 настоящего Положения;
порядок сбора и регистрации информации о событиях (случаях) фактической реализации риска аутсорсинга, вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска аутсорсинга), в соответствии с подпунктом 2.1.2 пункта 2.1 настоящего Положения;
порядок мониторинга риска аутсорсинга, осуществляемого в соответствии с подпунктом 2.1.7 пункта 2.1 и пунктом 8 1.6 настоящего Положения;
порядок обеспечения соответствия фактических значений контрольных показателей уровня риска аутсорсинга определенным кредитной организацией (головной кредитной организацией банковской группы) значениям в соответствии с главой 5 и пунктом 8 1.9 настоящего Положения;
планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение качества управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга, в соответствии с подпунктом 4.1.5 пункта 4.1 и пунктом 8 1.7 настоящего Положения;
порядок реагирования на выявленные события риска аутсорсинга и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации событий риска аутсорсинга;
порядок и периодичность формирования отчетов подразделений кредитной организации (головной кредитной организации банковской группы) в соответствии с абзацем десятым подпункта 8 1.7.6 пункта 8 1.7, абзацем пятым подпункта 8 1.10.1 пункта 8 1.10 и пунктом 8 1.12 настоящего Положения.
Подразделение, ответственное за организацию аутсорсинга, проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра требований к управлению риском аутсорсинга в зависимости от вида и характера функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов мероприятий и процедур управления риском аутсорсинга, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, для принятия решения о необходимости внесения изменений в требования к управлению риском аутсорсинга в соответствии с пунктом 4.6 настоящего Положения.
8 1.3. Кредитная организация (головная кредитная организация банковской группы) устанавливает требования к процедурам управления риском аутсорсинга критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов, передаваемых на аутсорсинг:
третьим лицам (внешним подрядчикам, контрагентам), не связанным с кредитной организацией (головной кредитной организацией банковской группы);
третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), связанным с кредитной организацией (головной кредитной организацией банковской группы) (далее - третьи лица, связанные с кредитной организацией (головной кредитной организацией банковской группы);
привлекаемым организациям при аутсорсинге ИС.
Для целей управления риском аутсорсинга связанность третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) с кредитной организацией (головной кредитной организацией банковской группы) определяется в соответствии с частями второй - пятой статьи 64 1 Федерального закона N 86-ФЗ.
8 1.4. Кредитная организация (головная кредитная организация банковской группы) определяет процедуры количественной и качественной оценок уровня риска аутсорсинга, проводимые в соответствии с подпунктами 2.1.4 и 2.1.5 пункта 2.1 настоящего Положения, в том числе предусматривающие проведение анализа внутренних и внешних факторов, связанных с осуществлением аутсорсинга.
8 1.4.1. Кредитная организация (головная кредитная организация банковской группы) при проведении процедур количественной и качественной оценок уровня риска аутсорсинга оценивает внешние факторы, связанные с его осуществлением, в том числе:
уровень негативного влияния, в том числе величину финансовых потерь, потерь деловой репутации и иных видов потерь кредитной организации (головной кредитной организации банковской группы), в случае невыполнения или ненадлежащего выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;
величину потерь средств клиентов и контрагентов кредитной организации (головной кредитной организации банковской группы) в случае невыполнения или ненадлежащего выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;
влияние аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов на вероятность реализации риска, указанного в абзаце седьмом пункта 1.4 настоящего Положения;
уровень негативного влияния, в том числе величину финансовых потерь, потерь деловой репутации и иных видов потерь кредитной организации (головной кредитной организации банковской группы), в случае нарушения безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов.
8 1.4.2. Кредитная организация (головная кредитная организация банковской группы) при проведении процедуры качественной оценки уровня риска аутсорсинга в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения оценивает внутренние факторы, связанные с его осуществлением, в том числе:
взаимосвязи между процессами кредитной организации (головной кредитной организации банковской группы) в том числе на основании зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
особенности оказания услуг и (или) выполнения функций, операций, процессов и (или) этапов процессов, переданных на аутсорсинг, и возможность замены третьего лица (внешнего подрядчика, контрагента, участника банковской группы), оказывающего данные услуги и (или) выполняющего функции, операции, процессы и (или) этапы процессов, на другое третье лицо (внешнего подрядчика, контрагента, участника банковской группы) или кредитную организацию (головную кредитную организацию банковской группы), передавшую функции, операции, услуги, процессы и (или) этапы процессов на аутсорсинг;
наличие связанности между кредитной организацией (головной кредитной организацией банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);
стоимость оказания услуг и (или) выполнения функций, операций, процессов и (или) этапов процессов третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы).
Кредитная организация (головная кредитная организация банковской группы) проводит качественную оценку риска аутсорсинга ИС путем определения вероятности его реализации и оценки негативного влияния реализации угроз, моделирование которых осуществляется кредитной организацией (головной кредитной организацией банковской группы) в соответствии с абзацем девятнадцатым подпункта 2.1.5 пункта 2.1 настоящего Положения. В том числе кредитная организация оценивает:
уровень негативного влияния в случае нарушения безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов при аутсорсинге ИС;
уровень негативного влияния в случае нарушения требований к обеспечению защиты информации и операционной надежности кредитной организации (головной кредитной организации банковской группы).
Кредитная организация (головная кредитная организация банковской группы) проводит качественную оценку риска аутсорсинга до начала осуществления аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов, а также включает ее в план проведения качественной оценки, разрабатываемый на ежегодной основе в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения.
8 1.5. Кредитная организация (головная кредитная организация банковской группы) выявляет и регистрирует события риска аутсорсинга с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложением 4 к настоящему Положению, в том числе с указанием в базе событий внутренних и (или) внешних источников реализации таких событий информации о третьих лицах (внешних подрядчиках, контрагентах, участниках банковской группы), оказывающих соответствующие услуги и (или) выполняющих соответствующие функции, операции, процессы и (или) этапы процессов кредитной организации (головной кредитной организации банковской группы), состав которой определяет кредитная организация (головная кредитная организация банковской группы), видов и величины потерь от реализации событий риска аутсорсинга, а также последствий в виде реализации других видов риска (в том числе риск потери деловой репутации, правовой риск, стратегический риск, риск нарушения непрерывности деятельности).
Кредитная организация (головная кредитная организация банковской группы) относит к событиям риска аутсорсинга ИС инциденты защиты информации и инциденты операционной надежности в значении, установленном в пункте 3 Положения Банка России от 12 января 2022 года N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (зарегистрировано Минюстом России 8 апреля 2022 года, регистрационный N 68140, с изменениями, внесенными Указанием Банка России от 6 октября 2023 года N 6569-У (зарегистрировано Минюстом России 25 декабря 2023 года, регистрационный N 76594) (далее - Положение Банка России N 787-П), вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) при аутсорсинге ИС.
8 1.6. Кредитная организация (головная кредитная организация банковской группы) определяет и проводит процедуру мониторинга риска аутсорсинга, осуществляемого в соответствии с подпунктом 2.1.7 пункта 2.1 настоящего Положения, включая:
мониторинг связанности между третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), которым переданы на аутсорсинг функции, операции, услуги, процессы и (или) этапы процессов кредитной организации (головной кредитной организации банковской группы);
мониторинг наличия зависимости оказания услуг и (или) выполнения функций, операций, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) от одного или группы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
мониторинг соответствия фактических значений контрольных показателей уровня риска аутсорсинга определенным кредитной организацией (головной кредитной организацией банковской группы) сигнальным и контрольным значениям.
Для целей управления риском аутсорсинга связанность между третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) определяется на основании критериев, установленных в отношении группы связанных заемщиков частями третьей и четвертой статьи 64 Федерального закона N 86-ФЗ.
Для целей управления риском аутсорсинга группой третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) (группой привлекаемых организаций) признаются третьи лица (внешние подрядчики, контрагенты, участники банковской группы) (привлекаемые организации) в случае наличия связанности между ними.
8 1.7. Кредитная организация (головная кредитная организация банковской группы) в рамках комплекса мероприятий, разрабатываемого в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения, в том числе определяет и соблюдает следующие требования к процедурам организации аутсорсинга критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов:
8 1.7.1. Требования к процедуре инициирования аутсорсинга критически важных процессов и (или) их этапов, включая требования к:
выявлению потребности в аутсорсинге критически важных процессов и (или) их этапов;
анализу целесообразности аутсорсинга критически важных процессов и (или) их этапов.
Для выявления потребности в аутсорсинге критически важных процессов и (или) их этапов кредитная организация (головная кредитная организация банковской группы) применяет в том числе следующие способы:
анализ стратегических планов развития кредитной организации (головной кредитной организации банковской группы);
анализ изменяющихся внутренних и внешних факторов в деятельности кредитной организации (головной кредитной организации банковской группы);
анализ базы событий на предмет выявления недостатков организации критически важных процессов и концентрации операционного риска на их отдельных этапах;
анализ результатов процедур количественной и качественной оценок уровня операционного риска, проводимых в соответствии с подпунктами 2.1.4 и 2.1.5 пункта 2.1 настоящего Положения;
анализ результатов оценки эффективности выполнения процедур управления операционным риском, проводимой в соответствии с пунктом 2.5 настоящего Положения.
Заказчик аутсорсинга проводит анализ целесообразности аутсорсинга критически важных процессов и (или) их этапов, включающий:
анализ ограничений аутсорсинга критически важных процессов и (или) их этапов;
анализ ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от аутсорсинга критически важных процессов и (или) их этапов;
выявление и анализ рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов;
анализ состава третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым могут быть переданы на аутсорсинг критически важные процессы и (или) их этапы.
В рамках анализа ограничений аутсорсинга критически важных процессов и (или) их этапов заказчик аутсорсинга проводит анализ:
требований законодательства Российской Федерации, в том числе нормативных актов Банка России, в области аутсорсинга критически важных процессов и (или) их этапов, в том числе наличия лицензионных требований в отношении выполнения критически важных процессов и (или) их этапов;
возможности выполнения критически важных процессов и (или) их этапов собственными силами кредитной организации (головной кредитной организации банковской группы);
предложения услуг (работ, товаров) на рынке, включая сравнение средней рыночной стоимости аутсорсинга критически важных процессов и (или) их этапов, в том числе первичных и последующих затрат на их выполнение, с размером инвестиций, необходимых для выполнения указанных критически важных процессов и (или) их этапов собственными силами кредитной организации (головной кредитной организации банковской группы).
Заказчик аутсорсинга проводит анализ ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от аутсорсинга критически важных процессов и (или) их этапов, в том числе в виде:
снижения и (или) перераспределения операционных расходов;
обеспечения выполнения критически важных процессов и (или) их этапов в отсутствие необходимых кадровых ресурсов у кредитной организации (головной кредитной организации банковской группы);
высвобождения кадровых ресурсов кредитной организации (головной кредитной организации банковской группы) для целей выполнения иных функций, операций, услуг, процессов и (или) этапов процессов;
повышения эффективности функционирования кредитной организации (головной кредитной организации банковской группы), включая повышение качества выполнения критически важных процессов и (или) их этапов и (или) сокращение сроков реорганизации (реинжиниринга) бизнес-процессов;
возможности применения технологий, ранее не доступных кредитной организации (головной кредитной организации банковской группы), при выполнении критически важных процессов и (или) их этапов;
сокращения сроков выхода на финансовый рынок с предложением финансовых и нефинансовых услуг (работ, товаров);
увеличения объемов и (или) масштаба деятельности;
передачи (или частичной передачи) риска третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы).
В рамках выявления и анализа рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов, заказчик аутсорсинга проводит выявление и анализ в том числе следующих видов риска кредитной организации (головной кредитной организации банковской группы):
стратегического риска;
риска потери деловой репутации;
операционного риска;
странового риска, в том числе связанного с трансграничной передачей данных кредитной организации (головной кредитной организации банковской группы);
риска потерь кредитной организации (головной кредитной организации банковской группы), обусловленного зависимостью выполнения двух и более функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) от одного или группы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).
Кредитная организация (головная кредитная организация банковской группы) при проведении анализа целесообразности аутсорсинга ИС в том числе проводит анализ риска информационной безопасности и риска нарушения непрерывности деятельности в части нарушения операционной надежности кредитной организации (головной кредитной организации банковской группы) в условиях зависимости выполнения функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) от привлекаемых организаций.
Кредитная организация (головная кредитная организация банковской группы) в рамках анализа рисков, возникающих при аутсорсинге критически важных процессов и (или) их этапов, проводит их количественную и (или) качественную оценку по шкале качественных оценок, установленной кредитной организацией (головной кредитной организацией банковской группы) в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения.
Результаты проведенного анализа целесообразности аутсорсинга критически важных процессов и (или) их этапов оформляются заказчиком аутсорсинга в виде заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов и при признании аутсорсинга критически важных процессов и (или) их этапов целесообразным направляются на рассмотрение в подразделение, ответственное за организацию аутсорсинга.
8 1.7.2. Требования к оценке заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов, проводимой подразделением, ответственным за организацию аутсорсинга, включая требования к:
выявлению и анализу рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов и указанных в абзацах тридцатом - тридцать четвертом подпункта 8 1.7.1 настоящего пункта;
оценке обоснованности выводов заказчика аутсорсинга, содержащихся в заключении с предложением об аутсорсинге критически важных процессов и (или) их этапов.
В случае оценки заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов, предусматривающего передачу на аутсорсинг критически важных процессов и (или) их этапов третьим лицам, связанным с кредитной организацией (головной кредитной организацией банковской группы), подразделение, ответственное за организацию аутсорсинга, проводит:
анализ рентабельности аутсорсинга критически важных процессов и (или) их этапов;
анализ ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от аутсорсинга критически важных процессов и (или) их этапов.
Подразделение, ответственное за организацию аутсорсинга, проводит оценку обоснованности выводов заказчика аутсорсинга, содержащихся в заключении с предложением об аутсорсинге критически важных процессов и (или) их этапов.
Результаты проведенной оценки заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов оформляются подразделением, ответственным за организацию аутсорсинга, в виде заключения о целесообразности аутсорсинга критически важных процессов и (или) их этапов.
8 1.7.3. Требования к процедуре принятия решения об аутсорсинге критически важных процессов и (или) их этапов.
Уполномоченный коллегиальный орган кредитной организации (головной кредитной организации банковской группы) рассматривает в установленные кредитной организацией (головной кредитной организацией банковской группы) сроки заключение с предложением об аутсорсинге критически важных процессов и (или) их этапов, подготовленное заказчиком аутсорсинга, и заключение о целесообразности аутсорсинга критически важных процессов и (или) их этапов, подготовленное подразделением, ответственным за организацию аутсорсинга, и принимает решение об аутсорсинге критически важных процессов и (или) их этапов.
Решение уполномоченного коллегиального органа кредитной организации (головной кредитной организации банковской группы) об аутсорсинге критически важных процессов и (или) их этапов включает в том числе условия аутсорсинга критически важных процессов и (или) их этапов, его стоимость, и состав третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым могут быть переданы на аутсорсинг критически важные процессы и (или) их этапы.
Кредитная организация (головная кредитная организация банковской группы) самостоятельно определяет уполномоченный коллегиальный орган кредитной организации (головной кредитной организации банковской группы), указанный в абзаце втором настоящего подпункта.
8 1.7.4. Требования к передаче критически важных процессов и (или) их этапов на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), включая требования к:
наличию специализации (квалификации) и ресурсного обеспечения (кадрового, технического и технологического) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), достаточных для выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;
наличию у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) лицензий и сертификатов, необходимых для выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;
выполнению критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов в соответствии с требуемыми кредитной организацией (головной кредитной организацией банковской группы) значениями целевых показателей объема и уровня оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) (далее - целевые показатели оказания услуг);
финансовому положению третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
наличию опыта и деловой репутации третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
вероятности наступления сбоев при выполнении критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) и потенциальных потерь кредитной организации (головной кредитной организации банковской группы), связанных с восстановлением выполнения критически важных процессов и (или) их этапов;
отсутствию экономических, правовых, операционных и иных ограничений, возникающих при передаче критически важных процессов и (или) их этапов на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), на которых распространяется законодательство иностранного государства, включая случаи трансграничной передачи данных кредитной организации (головной кредитной организации банковской группы);
стоимости и условий оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);
наличию и (или) отсутствию связанности между работниками кредитной организации (головной кредитной организации банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы).
Для целей управления риском аутсорсинга связанность между работниками кредитной организации (головной кредитной организации банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) определяется на основании критериев, установленных в отношении группы связанных заемщиков частями третьей и четвертой статьи 64 Федерального закона N 86-ФЗ.
Кредитная организация (головная кредитная организация банковской группы) при аутсорсинге ИС дополнительно определяет требования к:
вероятности наступления случаев нарушения операционной надежности и требований к обеспечению защиты информации кредитной организации (головной кредитной организации банковской группы), а также безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов;
соблюдению привлекаемыми организациями требований законодательства Российской Федерации в области обработки информации кредитной организации (головной кредитной организации банковской группы) и ее клиентов, в том числе при трансграничной передаче данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов.
Кредитная организация (головная кредитная организация банковской группы) при передаче критически важных процессов и (или) их этапов на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) проводит анализ наличия зависимости выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов от одного или группы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).
Кредитная организация (головная кредитная организация банковской группы) при передаче критически важных процессов и (или) их этапов на аутсорсинг единственному третьему лицу (внешнему подрядчику, контрагенту, участнику банковской группы) устанавливает процедуры выявления и контроля рисков, связанных с передачей критически важных процессов и (или) их этапов на аутсорсинг единственному третьему лицу (внешнему подрядчику, контрагенту, участнику банковской группы).
8 1.7.5. Требования к выполнению критически важных процессов и (или) их этапов, включая требования к:
описанию критически важных процессов и (или) их этапов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);
обязанностям и ответственности третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым передаются на аутсорсинг критически важные процессы и (или) их этапы;
целевым показателям оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), в том числе обеспечивающим соблюдение установленных кредитной организацией (головной кредитной организацией банковской группы) значений контрольных показателей уровня операционного риска;
обеспечению доступа кредитной организации (головной кредитной организации банковской группы) к информации, обеспечивающей выполнение критически важных процессов и (или) их этапов;
обеспечению непрерывности и (или) восстановления критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов, выполняемых третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);
процедурам управления операционным риском, в том числе требования к процедурам контроля за выполнением критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;
предоставлению третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) информации о событиях операционного риска, оказывающих влияние на выполнение ими критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;
представлению трет
Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Скорректированы требования к системе управления операционным риском в кредитной организации и банковской группе.
Введены риски аутсорсинга и недобросовестного поведения. Описаны процессы управления ими.
Так, в части управления риском аутсорсинга предусматривается проведение ежегодной независимой оценки, которая покажет, насколько соблюдаются требования, как реализуется процесс управления данным риском и насколько он эффективен. Приведены подходы к определению аутсорсинга и составу функций, операций, услуг и этапов процессов, передаваемым на аутсорсинг.
Предусматривается регистрация и анализ событий риска недобросовестного поведения, который основывается на обращениях в организацию о данных событиях. Представлена классификация риска недобросовестного поведения.
Переоценка стоимости активов или величины собственных средств в сторону уменьшения теперь будет относиться к операционным рискам.
Указание вступает в силу с 1 октября 2025 г.
Указание Банка России от 22 октября 2024 г. N 6906-У "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
Зарегистрировано в Минюсте России 2 апреля 2025 г.
Регистрационный N 81718
Вступает в силу с 1 октября 2025 г.
Опубликование:
сайт Банка России (cbr.ru) 8 апреля 2025 г.
Вестник Банка России, 25 апреля 2025 г. N 19
Система ГАРАНТ
Информационно-правовое обеспечение ГАРАНТ включает широкий круг инструментов и полезных сервисов для специалистов различных областей.
Узнайте подробнее о наполнении профессиональных комплектов и стоимости информационного обеспечения.
Новости
Все новости17 июля 2025 18:25
Бизнес
Банк России решил снизить порог доходов до 6 млн руб. при наличии профильного образования.
17 июля 2025 18:01
Проверки
Из него исключены некоторые документы в сфере здравоохранения, вместо которых приняты новые.
17 июля 2025 17:27
Социальная сфера
Сейчас они лишены возможности изменить нанимателя, если не были указаны в документах.
17 июля 2025 17:00
Общество
Инициатива направлена на решение кадрового дефицита в организациях, выполняющих госзаказы.
17 июля 2025 16:07
Бюджетный учет
Общие требования установит Федеральное казначейство.
17 июля 2025 15:45
IT
Кроме того, освобождение от службы можно будет получить без готового диплома, в том числе иностранного.