Приложение 1
к Положению Банка России
от 8 апреля 2020 г. N 716-П
"О требованиях к системе управления
операционным риском в кредитной
организации и банковской группе"
Контрольные показатели
уровня операционного риска
25 марта 2022 г.
1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок установления и контроля соблюдения следующих контрольных показателей уровня операционного риска в соответствии с главами 5 и 9 настоящего Положения.
1.1. Базовый набор показателей системы управления операционным риском включает следующие показатели.
Подпункт 1.1.1 изменен с 1 января 2023 г. - Указание Банка России от 25 марта 2022 г. N 6103-У
1.1.1. Количественные контрольные показатели:
общая сумма чистых прямых потерь, понесенных кредитной организацией от реализации событий операционного риска за вычетом чистых прямых потерь от реализации событий риска информационной безопасности за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом валовых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за годовой период, к базовому капиталу кредитной организации на последнюю отчетную дату года;
отношение общей суммы чистых прямых потерь (включая чистые прямые потери от реализации событий риска информационной безопасности), понесенных кредитной организацией за год, к показателю объема операционного риска в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения Банка России N 652-П на последнюю отчетную дату для кредитных организаций, применяющих для расчета размера операционного риска Положение Банка России N 652-П, либо в виде показателя бизнес-индикатора, рассчитанного в соответствии с пунктом 2.2 Положения Банка России N 744-П на последнюю расчетную дату для кредитных организаций, применяющих для расчета размера операционного риска Положение Банка России N 744-П (далее - показатель объема операционного риска);
отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом валовых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за год, к показателю объема операционного риска;
отношение суммы чистых прямых потерь от реализации событий операционного риска, рассчитанных в соответствии с пунктом 6.18 настоящего Положения, понесенных кредитной организацией за год, за вычетом чистых прямых потерь от реализации событий риска информационной безопасности к показателю объема операционного риска;
доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с валовыми прямыми потерями, превышающими порог регистрации, определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, по отношению ко всем зарегистрированным в базе событий событиям операционного риска с валовыми прямыми потерями, превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);
отношение сумм валовых прямых потерь от реализации выявленных в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с прямыми потерями, превышающими порог регистрации, определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, к общей сумме валовых прямых потерь от реализации всех событий операционного риска, зарегистрированных в базе событий с прямыми потерями, превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);
общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом суммы валовых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности, за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
отношение суммы чистых прямых и сумм величин косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом суммы чистых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности, к общему капиталу (собственным средствам) кредитной организации на последнюю отчетную дату года;
другие количественные показатели, определяемые кредитной организацией в стратегии управления рисками и капиталом.
1.1.2. Качественные контрольные показатели, к которым относятся качественные оценки по четырехуровневой системе ("хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно") по следующим направлениям:
оценка эффективности функционирования системы управления операционным риском, проведенная уполномоченным подразделением в соответствии с пунктом 4.4 настоящего Положения;
другие качественные показатели, определяемые кредитной организацией в стратегии управления рисками и капиталом.
1.1.3. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет лимиты операционного риска на основе установленных в политике управления операционным риском значений уровней контрольных показателей путем их распределения по направлениям деятельности, в том числе в разрезе составляющих их процессов, подразделениям, видам операционного риска (риск информационной безопасности, риск информационных систем, операционный риск в целом) в соответствии с абзацами вторым - восьмым, одиннадцатым подпункта 1.1.1 настоящего пункта.
1.2. Базовый набор контрольных показателей уровня риска информационной безопасности включает следующие показатели.
Подпункт 1.2.1 изменен с 1 января 2023 г. - Указание Банка России от 25 марта 2022 г. N 6103-У
1.2.1. Количественные контрольные показатели риска информационной безопасности:
общая сумма чистых прямых потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
общая сумма валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
отношение общей суммы чистых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за отчетный период (первый квартал, полугодие, девять месяцев, год), к базовому капиталу кредитной организации на последнюю отчетную дату года;
отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией при выполнении кредитной организацией функций участника платежной системы Банка России, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме осуществленных кредитной организацией операций по переводу денежных средств через платежную систему Банка России за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение - не более 0,005 процента);
отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств и платежей в платежных системах за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение - не более 0,005 процента);
отношение суммы денежных средств, по которой получены уведомления, связанные с осуществлением перевода денежных средств без согласия клиента, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств за этот же период (контрольное значение должно быть не более 0,005 процента, сигнальное значение - не более 0,002 процента);
доля реализованных (по количеству), то есть не предотвращенных системой информационной безопасности кредитной организации, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь, которые кредитная организация не отразила в базе событий, по отношению ко всем событиям риска информационной безопасности, зарегистрированным в базе событий, с ненулевой величиной валовых прямых потерь в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года), о которых кредитная организация проинформировала Банк России в соответствии с пунктом 8 Положения Банка России N 683-П;
доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых кредитная организация не проинформировала Банк России в соответствии с пунктом 8 Положения Банка России N 683-П, по отношению ко всем зарегистрированным событиям риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых кредитная организация проинформировала Банк России в соответствии с пунктом 8 Положения Банка России N 683-П, за годовой период, к которому относится проверяемый период;
общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска (в случае, если кредитная организация применяет подход количественной оценки потерь от реализации операционного риска на основе статистики базы событий (с использованием статистики за период не менее пяти лет) с использованием продвинутого подхода;
отношение суммы чистых прямых и сумм величин косвенных потерь от событий риска информационной безопасности к собственным средствам (капиталу) кредитной организации на последнюю отчетную дату года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
отношение суммы валовых прямых и сумм величин косвенных потерь, понесенных кредитной организацией при выполнении кредитной организацией функций оператора платежной системы или оператора услуг платежной инфраструктуры, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме операций по переводу денежных средств через платежные системы, где кредитная организация выполняет функции оператора платежной системы, за этот же период (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате использования электронных средств платежа клиентов кредитных организаций без их согласия за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате переводов (снятия) денежных средств, связанных с несанкционированным доступом к объектам информационной инфраструктуры кредитной организации, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
отношение количества операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее соответственно - сеть "Интернет", операции, соответствующие признакам осуществления перевода денежных средств без согласия клиента - физического лица), в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872) не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2018, N 27, ст. 3950) приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общему количеству операций по переводу денежных средств за этот же период;
отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме денежных средств по операциям по переводу денежных средств за этот же период;
отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов - физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5 3 статьи 8 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2018, N 27, ст. 3950), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за этот же период;
отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов - физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5 3 статьи 8 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за этот же период;
отношение количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций по переводу денежных средств без согласия клиента - физического лица за этот же период;
отношение суммы денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица за этот же период;
отношение суммы денежных средств, возмещенной (возвращенной) клиентам, по которой получены уведомления от клиентов об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств, в отношении которой получены такие уведомления, за этот же период;
оценка соответствия уровню защиты информации в отношении процесса 1 "Обеспечение защиты информации при управлении доступом", определенного пунктом 7.2 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017), согласно методике оценки соответствия защиты информации, определенной национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018) (далее - ГОСТ Р 57580.2-2018) (контрольное значение должно быть не менее 0,85, сигнальное значение - не менее 0,9);
оценка соответствия уровню защиты информации в отношении процесса 5 "Предотвращение утечек информации", определенного пунктом 7.6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018 (контрольное значение должно быть не менее 0,85, сигнальное значение - не менее 0,9);
оценка выполнения установленных Положением Банка России N 683-П, Положением Банка России N 719-П, Положением Банка России от 23 декабря 2020 года N 747-П "О требованиях к защите информации в платежной системе Банка России", зарегистрированным Министерством юстиции Российской Федерации 3 февраля 2021 года N 62365, требований к обеспечению защиты информации, применяемых в отношении объектов информационной инфраструктуры, проводимая согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018.
При расчете количественного контрольного показателя уровня риска информационной безопасности, указанного в абзаце девятнадцатом настоящего подпункта, кредитная организация (головная кредитная организация банковского группы) определяет количество операций по переводу денежных средств без согласия клиента - физического лица как сумму количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, и количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за исключением случаев, когда получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов - физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5 3 статьи 8 Федерального закона N 161-ФЗ.
При расчете количественного контрольного показателя уровня риска информационной безопасности, указанного в абзаце двадцатом настоящего подпункта, кредитная организация (головная кредитная организация банковского группы) определяет сумму денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица как сумму денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, и денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за исключением случаев, когда получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов - физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5 3 статьи 8 Федерального закона N 161-ФЗ.
Подпункт 1.2.2 изменен с 1 января 2023 г. - Указание Банка России от 25 марта 2022 г. N 6103-У
1.2.2. Качественные контрольные показатели риска информационной безопасности, к которым относятся качественные оценки по четырехуровневой системе ("хорошо", "удовлетворительно", "сомнительно", "неудовлетворительно"), по направлению "оценка эффективности функционирования системы управления риском информационной безопасности, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета директоров (наблюдательного совета) кредитной организации.
2. Дочерние кредитные организации, осуществляющие свою деятельность в иностранной юрисдикции, в случае противоречия национального законодательства требованиям настоящего Положения приводят в соответствие с требованиями национального законодательства показатели, указанные в настоящем приложении.