Разъяснение Банка России от 25.04.2022 N 716-Р-2021/63 "Рекомендации по осуществлению оценки эффективности системы управления операционным риском" (вместе с "Рекомендациями по осуществлению оценки эффективности системы управления операционным риском...

2.3.2. Процедура сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П

Оценку эффективности проведения процедуры сбора и регистрации информации о СОР в кредитной организации следует осуществлять по следующим направлениям:

- выполнение кредитной организацией способов выполнения процедуры сбора и регистрации информации о внутренних СОР и потерях от его реализации в соответствии с подпунктом 2.1.2 пункта 2.1 Положения N 716-П и внутренними документами кредитной организации, с учетом подпунктов 2.2.12.1 - 2.2.12.4 пункта 2.2 настоящих разъяснений;

- качество ведения базы событий операционного риска в кредитной организации.

При проведении оценки качества ведения базы событий рекомендуется учитывать следующее.

2.3.2.1. Соблюдение требований к информационной системе, обеспечивающей управление операционным риском, в том числе:

- сохранность данных и их защиту от искажений в соответствии с требованиями пункта 1.3 Положения N 716-П;

- соблюдение требований к информационным системам в соответствии с главой 7 Положения N 744-П, в том числе к обеспечению качества данных в информационной системе, указанных в подпункте 8.7.4 пункта 8.7 Положения N 716-П. В рамках проверки вышеуказанных требований рекомендуется осуществить проверку документов о приемке в эксплуатацию вышеуказанной информационной системы.

2.3.2.2. Полноту ведения базы событий, с учетом требований пункта 6.4 Положения N 716-П, в том числе с учетом следующего.

Допускается проведение выборочной проверки, при этом объем выборки должен быть достаточным для обеспечения репрезентативности выборки в соответствии с международными стандартами аудита.

В целях оценки полноты информации за проверяемый период об инцидентах, которые могут нести признаки СОР, рекомендуется получать информацию из различных источников, в том числе:

- АБС/бухгалтерского учета;

- AC Fraud detection;

- журналы регистраций обращений и жалоб физических и юридических лиц;

- акты служебных расследований;

- акты проверок внешних надзорных органов (например, Банка России, Минфина, Роспотребнадзора, ФАС и др.);

- журналы учета инцидентов риска информационной безопасности и риска информационных систем;

- журналы учета ДТП с участием спецавтотранспорта кредитной организации;

- распорядительные документы кредитной организации в части дисциплинарных взысканий по работникам;

- прочие источники.

При осуществлении проверки полноты учета прямых потерь от реализации СОР рекомендуется осуществить процедуру сверки выписок по счетам бухгалтерского учета расходов/убытков и приравненных к ним счетам дебиторской задолженности на предмет выявления в них бухгалтерских записей, которые могут идентифицироваться как потери от СОР и их сверки наличия в базе событий. В этих целях рекомендуется:

- определить перечень балансовых счетов по операциям учета потерь и возмещения потерь от реализации СОР для включения в выборку проверки. Сформировать выгрузку необходимых данных из АБС (за проверяемый период);

- сформировать выгрузку данных из базы событий по СОР с прямыми потерями либо находящимся в процессе оценки (за проверяемый период);

- осуществить анализ полученных данных.

При выявлении фактов расхождения данных выписок из АБС и базы событий в части учета прямых потерь от операционного риска и (или) несоблюдения установленных сроков отражения информации о погашении в базе событий рекомендуется установить причины возникновения данных отклонений и ответственные подразделения.

По результатам проведенной оценки полноты базы событий рекомендуется рассчитать КПУР показатели доли пропусков, определенные абзацами шестым и седьмым подпункта 1.1.1 пункта 1.1 приложения 1 к Положению N 716-П в разрезе процессов.

В случае выявления СОР, не зарегистрированных или несвоевременно зарегистрированных в базе событий, рекомендуется установить причины и виновных лиц (сотрудник подразделения, риск-координатор и (или) риск-менеджер, и руководитель подразделений владельца процесса или центра компетенции, который должен был выявить данное СОР).

2.3.2.3. Соответствие классификатора СОР, применяемого при регистрации СОР в базе событий, требованиям к классификации в разрезе элементов, указанным в главе 3 Положения N 716-П, корректность проведения классификации.

2.3.2.4. Соблюдение порядка ведения и использования базы событий, утвержденного внутренними документами кредитной организации.

2.3.2.5. Наличие в базе событий всей информации, предусмотренной пунктом 6.6 Положения N 716-П.

2.3.2.6. Ведение базы событий на постоянной основе, в том числе рекомендуется проверить:

- соблюдение сроков регистрации СОР требованиям внутренних документов кредитной организации и требованиям абзаца тринадцатого подпункта 2.1.2 пункта 2.1 Положения N 716-П;

- своевременность выявления и учета возмещений.

2.3.2.7. Соблюдение правил работы с персональными данными (например, в поле "Подробное описание события" могут быть включены ФИО клиента и (или) виновного работника, но не допускается отражение персональных данных клиентов либо работников).

2.3.2.8. Обоснованность удаления (исправления) информации из базы событий о СОР (например, в случае если зарегистрированное в базе событий СОР не подтвердилось в процессе расследования). Во внутренних документах кредитной организации должно быть указано требование, что при удалении СОР из базы событий риск-менеджеру необходимо в обязательном порядке в поле "Комментарии" указать обоснование его удаления, также должно быть соблюдено требование о логировании записей в базе событий.

2.3.1. Процедура идентификации операционного риска в соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П 2.3.3. Процедура оценки потерь и возмещений от реализации СОР в кредитной организации в соответствии с подпунктом 2.1.3 пункта 2.1 Положения N 716-П