На сайте Центрального Банка Российской Федерации было опубликован проект Указания «О внесении изменений в Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – проекте Указания). Основные изменения касаются введения риска аутсорсинга, дополняется риск недобросовестного поведения, вводятся требования по предоставлению отчетов о результатах оценки эффективности выполнения процедур управления операционным риском и дополняется требование по работе с информацией конфиденциального характера.
Риск аутсорсинга
Вводится новый вид операционного риска – риск аутсорсинга и определяется как «риск ошибок и недостатков организации и осуществления деятельности кредитной организации (головной кредитной организации банковской группы) по передаче своих функций, операций, услуг и (или) этапов процессов на выполнение (аутсорсинг) третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), ненадлежащего исполнения ими переданных им функций, операций, услуг и (или) этапов процессов на выполнение (аутсорсинг)».
Предпосылками особого внимания регулятора банковской сферы возможно стало то, что приобретен опыт в области рисков, когда контрагенты банковских кредитных организаций не выполняют свои обязательства в надлежащем качестве и объеме, что потенциально приводит к рискам работы. Следовательно, применение методических рекомендаций регулятора позволит систематизировать работу в области риск аутсорсинга и уделить ему особое внимание. В целях решения данной задачи в проекте Указаний вводится новая глава 81, «Управление риском аутсорсинга».
В данной вводимой Главе определяется риск аутсорсинга, порядок управления им, порядок передачи отдельных функций, операций, услуг и/или этапов процессов, обеспечение их выполнения, оценка риска аутсорсинга, определение подразделений, ответственные за обеспечения функционирования и организацию аутсорсинга, выбор третьих лиц и составление договоров, вводятся понятие заказчик аутсорсинга, определяются полномочия совета директоров и коллегиального исполнительного органа, и другие элементы системы управления операционными рисками. Особо прописано процедуры анализа целесообразности и проведения ожидаемой выгоды и рисков от аутсорсинга.
В Главе 81 достаточно четко прописаны требования к банковской кредитной организации по управлению риском аутсорсинга во внутренних документах, а именно требования к процедурам инициирования, принятия решения, выбора и прекращения отношений с третьими лицами, оформления договорной базы, мониторинга качества и независимой оценки предложения выполнения передачи функций, операций, услуг и (или) этапов процессов.
Управление риском аутсорсинга представляется в дополнение процедурам Главы 2 также в виде качественной оценки с учетом внутренних и внешних факторов (оценка производится до осуществления аутсорсинга), выявление, регистрация и учет всех событий риска аутсорсинга, мониторинг и комплекс мероприятий, направленных на предотвращение и (или) снижение вероятности, ограничении потерь от реализации риска аутсорсинга, установление на плановый годовой период контрольные показатели уровня риска, в том числе сигнальных и контрольных значений. Для решения поставленных задач предусмотренные проектом изменениями выполнение подразделением, ответственным за организацию аутсорсинга разработку политики аутсорсинга, ее планирование, осуществление, контроль, совершенствование и ведение отчетов. По риску аутсорсинга проводится ежегодна независимая оценка соблюдений требований.
Данному виду операционного риска отводится отдельное Приложение №6, где описаны рекомендуемые подходы к определению аутсорсинга и составу функций, операций, услуг и (или) этапов процессов, передаваемым на аутсорсинг, где дается определение аутсорсинга. Также в проекте Приложения описывается, что признается аутсорсингом, договором аутсорсинга, и описаны какие функции, операции, услуги и этапы процессов не рассматриваются в качестве аутсорсинга.
Риск недобросовестного поведения
В проекте формулируется риск недобросовестного поведения, который дополняет существующее трактование, как «риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией) вследствие нарушения кредитной организацией кодексов профессиональной этики, рыночных практик, правил поведения кредитной организации при продаже финансовых инструментов и услуг» и дополняется фразой «, включая риск неправомерных действий и (или) недобросовестного поведения со стороны кредитной организации (головной кредитной организации банковской группы), который повлек и (или) может повлечь нарушения прав и законных интересов потребителей финансовых и нефинансовых услуг». Данное дополнение основано на необходимости более точного трактования операционного риска недобросовестного поведения потенциальных нарушений банковской кредитной организацией с учетом не только неформальных правил, но прежде всего правовых актов.
В проекте Указания представлено Приложение 41 «Подходы к дополнительной классификации риска недобросовестного поведения», где определена классификация риска недобросовестного поведения в качестве предоставления недостоверной информации о договоре, стоимости услуг; продажа неподходящих услуг; навязывания услуг; предложения финансовых и нефинансовых услуг под видом другой; нарушения прав клиентов в сфере защиты прав потребителей финансовых и нефинансовых услуг; иные нарушения
Предоставление в ЦБ РФ результатов оценки эффективности выполнения процедур управления операционным риском
В проекте Указания прописано, что банковская кредитная организация представляет в Банк России информацию о результатах оценки эффективности выполнения процедур управления операционным риском не позднее 10 рабочих дней с даты рассмотрения советом директоров (наблюдательным советом) кредитной организации (головной кредитной организации банковской группы) отчета о результатах оценки эффективности выполнения процедур управления операционным риском. В существующей редакции не было требования о предоставлении в адрес регулятора отчетов о результате оценки. В проекте определяются срок в 10 дней на отправление отчета и требования к отправлению.
Порядок работы с информацией конфиденциального характера
В проекте Указания дополняется требование к порядку обработки (хранения, уничтожения) информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации кредитной организации (головной кредитной организации банковской группы), не подлежащей разглашению или опубликованию, которые следует отразить во внутренних документах, регламентирующих управления риском информационной безопасности и порядок функционирования системы информационной безопасности и обеспечивает его выполнение.
Введение данных изменений позволит потенциально повысить эффективность работы банковских кредитных организаций и уточнит аспекты в сфере управления операционными рисками.