Приложение 4

к Положению Банка России

от 8 апреля 2020 года N 716-П

"О требованиях к системе управления

операционным риском в кредитной

организации и банковской группе"

ДЕТАЛИЗИРОВАННАЯ КЛАССИФИКАЦИЯ

ТИПОВ СОБЫТИЙ ОПЕРАЦИОННОГО РИСКА

Список изменяющих документов

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

Кредитная организация (головная кредитная организация банковской группы) в разрезе основной классификации типов событий операционного риска дополнительно классифицирует события операционного риска по следующим типам событий операционного риска:

1. Тип события операционного риска "преднамеренные действия персонала" включает:

1.1. неразрешенную деятельность, состоящую в преднамеренных действиях персонала, связанную с превышением работниками своих полномочий при проведении или одобрении сделки (осуществлении операций), закрепленных должностными инструкциями, внутренними документами или решениями единоличного или коллегиального исполнительного органа кредитной организации, без цели присвоения, уничтожения, хищения имущества, материальных и (или) нематериальных активов, но в целях получения нематериальной выгоды;

1.2. преднамеренные действия персонала в отношении имущества, материальных и (или) нематериальных активов кредитной организации и средств клиентов с целью их присвоения, уничтожения, хищения в целях получения материальной выгоды, в том числе с использованием коммерческого подкупа (коррупции).

2. Тип события операционного риска "преднамеренные действия третьих лиц" включает:

2.1. преднамеренные действия третьих лиц в отношении имущества, материальных и (или) нематериальных активов кредитной организации и средств клиентов. К данному типу событий операционного риска не относятся события киберриска;

2.2. нарушение безопасности информационных систем, состоящее в преднамеренных действиях третьих лиц в отношении имущества, информации, данных, материальных и (или) нематериальных активов кредитной организации и средств клиентов. К данному типу событий операционного риска относятся все виды кибератак, совершенных третьими лицами с применением объектов информационной инфраструктуры по отношению к информации и данным, содержащимся во внутренних информационных системах кредитной организации (реализация событий киберриска).

3. Тип события операционного риска "нарушение кадровой политики и безопасности труда" включает:

3.1. нарушение трудового законодательства, результатом которого стало наложение на кредитную организацию санкций за нарушение норм трудового законодательства (выплаты работникам или бывшим работникам в виде компенсаций за нарушение условий трудового договора и (или) в связи с санкциями, наложенными исполнительным органом государственной власти, уполномоченным на осуществление федерального государственного надзора за соблюдением трудового законодательства);

3.2. нарушение норм безопасности и охраны труда, в том числе действия (бездействие) должностных лиц, результатом которых стали выплаты компенсаций работникам или бывшим работникам кредитной организации за причинение ущерба здоровью и (или) административных штрафов исполнительным органам государственной власти;

3.3. нарушения прав работников кредитной организации и третьих лиц, связанные с дискриминацией (половая, расовая, национальная дискриминация, а также дискриминация по языку, происхождению, имущественному и должностному положению, месту жительства, отношению к религии, убеждениям, принадлежности к общественным объединениям и возрастному признаку).

4. Тип события операционного риска "нарушение прав клиентов и контрагентов" включает:

4.1. нарушение прав клиентов, состоящее в действиях со стороны кредитной организации, которые привели к несанкционированному раскрытию конфиденциальной информации, нарушению функционирования системы информационного обмена и взаимодействия с клиентом, повлекших выплаты клиентам в связи с нарушением их интересов;

4.2. нарушение обычаев делового оборота и рыночных практик, состоящее в нарушении кредитной организацией законодательства Российской Федерации и других государств, под юрисдикцию которых попадают совершаемые операции, условий договоров на совершение операций, предоставление услуг, внутренних процедур кредитной организации взаимодействия с клиентами и контрагентами;

4.3. недостатки оказания услуг и проведения операций, состоящие в нарушении кредитной организацией интересов и прав клиентов вследствие установленных в кредитной организации правил и стандартов оказания услуг и проведения операций, рекламы кредитной организации, навязывания кредитной организацией сопутствующих услуг. К данному типу событий операционного риска не относятся события, связанные с несовершенством и недостатками внутренних процессов;

4.4. нарушение требований законодательства в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4.5. недостатки в работе с контрагентами, связанные с негативными событиями у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), произошедшими по вине кредитной организации, результатом которых стали претензии контрагентов и выплата им компенсаций.

(в ред. Указания Банка России от 25.03.2022 N 6103-У)

(см. текст в предыдущей редакции)

5. Тип события операционного риска "ущерб материальным активам", включает события, связанные с природными и прочими внешними факторами, повлекшими досрочное списание (полное или частичное выбытие) материальных активов кредитной организации:

природные факторы, включая стихийные бедствия;

техногенные факторы;

социально-политические факторы;

медико-биологические факторы;

вандализм.

6. Тип события операционного риска "нарушение и сбои систем и оборудования" включает:

6.1. сбои в работе информационных систем и программного обеспечения, связанные с нарушением работоспособности технических средств и оборудования, объектов информационной инфраструктуры, программного обеспечения и других элементов информационных систем кредитной организации;

6.2. инфраструктурные сбои, состоящие в нарушении работы инфраструктуры (сбой систем кондиционирования, водоснабжения, электроснабжения), за исключением сбоев информационных систем и объектов информационной инфраструктуры, оказавших влияние на деятельность кредитной организации.

7. Тип события операционного риска "нарушение организации, исполнения и управления процессами кредитной организации" включает:

7.1. ошибки при подготовке, проведении и сопровождении операций, состоящие в нарушении внутренних процессов, стандартов, правил кредитной организации (например, к данному типу событий операционного риска относятся события операционного риска непреднамеренного характера, связанные с нарушением внутренних процедур проведения операций работниками кредитной организации (не связанные с преднамеренными действиями персонала), события операционного риска, связанные с несовершенством и недостатками внутренних процессов, системы внутреннего контроля, систем управления рисками, недостатками распределения функций и полномочий, ошибками корпоративного управления);

7.2. ошибки во внутренних процессах бухгалтерского и аналитического учета и отчетности, состоящие в нарушении правил и сроков соблюдения бухгалтерского учета и предоставления отчетности;

7.3. ошибки при подготовке договоров и осуществлении документационного обмена, состоящие в ошибках при работе с клиентской документацией, документообороте, информационном обмене кредитной организации с клиентами;

7.4. ошибки расчетно-кассового обслуживания и управления счетами клиентов, состоящие в нарушении порядка работы со счетами клиентов, в том числе работы со средствами клиентов, находящимися в доверительном управлении;

7.5. недостатки работы с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы). К данному типу событий операционного риска относятся события операционного риска, связанные с потерями кредитной организации, возникшими в результате работы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), появлением зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

(пп. 7.5 в ред. Указания Банка России от 25.03.2022 N 6103-У)

(см. текст в предыдущей редакции)

7.6. ошибки кредитной организации, связанные с несоответствием внутренних документов кредитной организации законодательству Российской Федерации, нормативным актам исполнительных органов государственной власти, Банка России;

7.7. нарушения правил внутреннего контроля и процедур, установленных в кредитной организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения.