ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 18 августа 2021 года N 770-П

О требованиях к системе внутреннего контроля, системе управления рисками и обеспечению непрерывности деятельности бюро кредитных историй

(с изменениями на 8 ноября 2022 года)

Настоящее Положение на основании частей 2_2 и 2_3 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (Собрание законодательства Российской Федерации, 2005, N 1, ст.44; 2020, N 31, ст.5061)

устанавливает:

требования к системе внутреннего контроля и системе управления рисками бюро кредитных историй;

требования к содержанию, порядок и сроки представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений;

порядок оценки плана обеспечения непрерывности деятельности бюро кредитных историй Банком России;

порядок информирования бюро кредитных историй Банка России о наступлении в его деятельности событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, и принятии решения о начале реализации указанного плана;

требования к виду и характеру событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, о наступлении которых бюро кредитных историй обязано информировать Банк России.

Глава 1. Требования к системе внутреннего контроля бюро кредитных историй

1.1. В соответствии с частью 2_2 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях") бюро кредитных историй (далее - бюро) обязано организовать систему внутреннего контроля бюро.

Система внутреннего контроля бюро должна быть направлена на соблюдение бюро требований законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро, включая:

обеспечение достоверности, полноты, объективности и своевременности составления и представления бюро бухгалтерской (финансовой) и иной отчетности;

обеспечение защиты информации бюро, включая предотвращение не контролируемого бюро распространения информации ограниченного доступа (далее - утечка информации);

обеспечение эффективности финансово-хозяйственной деятельности бюро;

исключение вовлечения бюро и его работников в осуществление противоправной и недобросовестной деятельности;

исключение конфликтов интересов, возникающих при осуществлении бюро своих функций, в том числе выявление и контроль конфликта интересов, а также предотвращение его последствий.

1.2. Система внутреннего контроля бюро должна обеспечивать:

осуществление бюро мероприятий, направленных на выявление, анализ, оценку, мониторинг риска возникновения у бюро расходов (убытков) и (или) иных неблагоприятных последствий в результате несоответствия его деятельности требованиям законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро и (или) риска применения в отношении бюро, его акционеров (участников) и лиц, осуществляющих контроль в отношении акционеров (участников) бюро мер воздействия со стороны Банка России или органов исполнительной власти (далее - регуляторный риск), а также управление указанным риском;

разработку бюро мероприятий, направленных на предупреждение и предотвращение последствий реализации регуляторного риска, реализацию и (или) контроль выполнения указанных мероприятий;

осуществление бюро процедур предотвращения конфликта интересов;

осуществление бюро контроля исполнения предписаний (требований) Банка России;

ведение электронных журналов (протоколов), учитывающих каждое действие бюро, связанное с осуществлением деятельности бюро, и содержащих:

дату и время (до секунд) выполнения каждого действия бюро;

идентификаторы источника формирования кредитных историй, пользователя кредитных историй, бюро, субъекта кредитных историй и лиц, указанных в пунктах 3-7 части 1 статьи 6 Федерального закона "О кредитных историях" (Собрание законодательства Российской Федерации, 2005, N 1, ст.44; 2020, N 31, ст.5061) (далее при совместном упоминании - взаимодействующие лица), определяемые в соответствии с внутренними документами бюро;

исходящие и входящие идентификаторы запроса и ответа, направляемых каждым взаимодействующим лицом, содержащие дату и время (до секунд) отправления (поступления) и номер запроса и ответа.

1.3. Система внутреннего контроля бюро должна функционировать на постоянной основе.

1.4. В целях организации системы внутреннего контроля бюро должно разработать политику внутреннего контроля, содержащую основные принципы (подходы) к организации системы внутреннего контроля бюро, в том числе порядок осуществления внутреннего контроля, утверждаемую советом директоров (наблюдательным советом) бюро, а при его отсутствии - общим собранием акционеров (участников) бюро. По решению бюро политика внутреннего контроля может содержаться в одном или нескольких внутренних документах бюро.

Политика внутреннего контроля должна пересматриваться бюро не реже одного раза в год.

1.5. В рамках организации системы внутреннего контроля бюро обязано назначить контролера или сформировать отдельное структурное подразделение (далее - служба внутреннего контроля).

Контролер (служба внутреннего контроля) должен быть подотчетен (должна быть подотчетна):

в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии с абзацем вторым пункта 1.7 настоящего Положения - совету директоров (наблюдательному совету) бюро, а в случае его отсутствия - общему собранию акционеров (участников) бюро;

во всех остальных случаях - единоличному исполнительному органу бюро.

Контролер не должен одновременно являться контролером (работником службы внутреннего контроля) и (или) аудитором (работником службы внутреннего аудита) лиц, оказывающих профессиональные услуги на финансовом рынке, а также в некредитных финансовых организациях и (или) кредитных организациях.

Контролер (служба внутреннего контроля) выполняет функции, указанные в подпунктах 1.9.2-1.9.5 пункта 1.9 настоящего Положения, в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии с абзацем вторым пункта 1.7 настоящего Положения.

1.6. В рамках осуществления внутреннего контроля контролер (служба внутреннего контроля) выполняет следующие функции:

1.6.1. осуществляет проверки по всем направлениям деятельности бюро, включая любые подразделения и их работников, а также бизнес-процессы и операции, выполняемые бюро;

1.6.2. выявляет конфликты интересов, анализирует соблюдение требований законодательства Российской Федерации к структуре собственности бюро и подготавливает предложения совету директоров (наблюдательному совету) бюро или общему собранию акционеров (участников) бюро по устранению выявленных нарушений и недостатков в части выявления конфликта интересов, соблюдения требований законодательства Российской Федерации к структуре собственности бюро;

1.6.3. организует процессы, направленные на выявление, анализ, оценку, мониторинг и управление регуляторным риском, в том числе разрабатывает и контролирует выполнение мероприятий, направленных на предупреждение и предотвращение последствий реализации регуляторного риска;

1.6.4. ведет учет событий, связанных с регуляторным риском;

1.6.5. определяет вероятность возникновения событий, связанных с регуляторным риском, и осуществляет количественную оценку возможных последствий, связанных с их возникновением;

1.6.6. осуществляет анализ новых сервисов и функций, внедряемых бюро, и планируемых способов их реализации на предмет наличия регуляторного риска;

1.6.7. осуществляет анализ соблюдения бюро прав взаимодействующих лиц в рамках осуществления деятельности бюро;

1.6.8. участвует в рассмотрении обращений (в том числе жалоб), запросов и заявлений, связанных с деятельностью бюро, в части выявления регуляторного риска, а также проводит анализ статистики указанных обращений, запросов и заявлений (при наличии);

1.6.9. осуществляет анализ проектов внутренних документов, связанных с осуществлением деятельности бюро, в целях выявления регуляторного риска;

1.6.10. информирует органы управления бюро, указанные в абзацах третьем и четвертом пункта 1.5 настоящего Положения, обо всех случаях, препятствующих осуществлению функций контролера (службы внутреннего контроля).

1.7. В рамках организации системы внутреннего контроля квалифицированное бюро обязано организовать и осуществлять внутренний аудит путем назначения внутреннего аудитора, либо создания отдельного структурного подразделения, либо привлечения независимой внешней организации на основании договора (далее при совместном упоминании - Внутренний аудитор).

Бюро (за исключением квалифицированных бюро) вправе принять решение об организации и осуществлении внутреннего аудита путем назначения Внутреннего аудитора. При принятии такого решения внутренний аудит бюро осуществляется в порядке, предусмотренном для квалифицированных бюро в соответствии с пунктами 1.8-1.10, 1.12 настоящего Положения.

1.8. В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить подчиненность и подотчетность Внутреннего аудитора совету директоров (наблюдательному совету) квалифицированного бюро, а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро.

Внутренний аудитор не должен принимать участие в проверке деятельности и функций, которые осуществлялись им в течение проверяемого периода и в течение двенадцати месяцев после завершения осуществления указанных деятельности и функций.

1.9. В рамках осуществления внутреннего контроля Внутренний аудитор выполняет следующие функции:

1.9.1. осуществляет оценку качества и эффективности функционирования системы внутреннего контроля и системы управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения;

1.9.2. осуществляет проверку и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности, предусмотренной законодательством Российской Федерации и нормативными актами Банка России, а также надежности (включая достоверность, полноту и своевременность) сбора и представления указанной отчетности;

1.9.3. осуществляет оценку экономической целесообразности и эффективности новых сервисов и функций в рамках осуществляемой квалифицированным бюро деятельности по итогам их внедрения (установления);

1.9.4. осуществляет оценку полноты и точности информации, отраженной в базе событий, указанной в подпункте 2.6.1 пункта 2.6 настоящего Положения, а также корректности ведения указанной базы;

1.9.5. осуществляет валидацию и верификацию информации, предоставляемой совету директоров (наблюдательному совету), а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро, в целях контроля за реализацией мероприятий в рамках организации системы управления рисками.

1.10. Для выполнения в рамках системы внутреннего контроля функций, установленных пунктом 1.9 настоящего Положения, Внутренний аудитор:

составляет план проведения проверок (внутреннего аудита) с учетом оценки рисков, изменений в системе внутреннего контроля квалифицированного бюро, системе управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения, а также с учетом периодичности проведения проверок направлений деятельности и (или) бизнес-процессов, и (или) структурных подразделений квалифицированного бюро, содержащий в том числе перечень объектов внутреннего аудита, подлежащих проверке, предмет проверок (если планом проведения проверок (внутреннего аудита) предполагается определить отдельные направления оценки объекта внутреннего аудита), календарный график проведения проверок;

составляет акты о результатах проведенных проверок (внутреннего аудита), в которых должны быть отражены основания проведения проверок (внутреннего аудита), сроки их проведения, выводы и рекомендации Внутреннего аудитора (в том числе в части определения сроков реализации рекомендаций по совершенствованию деятельности квалифицированного бюро и ответственных за реализацию указанных рекомендаций лиц);

составляет и направляет не реже одного раза в год отчеты о проведенных проверках (проведенном внутреннем аудите) квалифицированного бюро и ходе выполнения органами управления квалифицированного бюро рекомендаций по совершенствованию деятельности такого бюро (при наличии указанных рекомендаций), а также о случаях, препятствующих осуществлению Внутренним аудитором своих функций (при наличии указанных случаев), членам совета директоров (наблюдательного совета) квалифицированного бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) квалифицированного бюро.

В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить хранение указанных в абзацах втором - четвертом настоящего пункта документов в течение не менее пяти лет с даты их составления.

1.11. Система внутреннего контроля бюро должна предусматривать хранение следующих документов:

(Абзац в редакции, введенной в действие с 1 января 2023 года указанием Банка России от 8 ноября 2022 года N 6309-У. - См. предыдущую редакцию)   

форм подтверждения пользователями кредитной истории наличия согласия субъекта кредитной истории на получение его кредитного отчета со дня их получения бюро - в течение одного года;

(Абзац в редакции, введенной в действие с 1 января 2023 года указанием Банка России от 8 ноября 2022 года N 6309-У. - См. предыдущую редакцию)   

кредитных отчетов, предоставляемых по запросу пользователей кредитной истории (включая передаваемые сведения о среднемесячных платежах, индивидуальные рейтинги и скоринги субъектов кредитных историй) со дня их формирования - в течение одного года;

(Абзац в редакции, введенной в действие с 1 января 2023 года указанием Банка России от 8 ноября 2022 года N 6309-У. - См. предыдущую редакцию)   

электронных журналов (протоколов), указанных в абзацах шестом - девятом пункта 1.2 настоящего Положения, в электронном виде и в формате, определенном бюро в своих внутренних документах, со дня формирования электронного журнала (протокола) по каждому действию - в течение трех лет.

(Абзац в редакции, введенной в действие с 1 января 2023 года указанием Банка России от 8 ноября 2022 года N 6309-У. - См. предыдущую редакцию)   

1.12. В рамках организации системы внутреннего контроля бюро должно обеспечивать выполнение контролером (службой внутреннего контроля) и Внутренним аудитором своих функций и решение поставленных задач без вмешательства со стороны иных структурных подразделений и работников бюро, исполнение структурными подразделениями и должностными лицами бюро требований контролера (службы внутреннего контроля) и Внутреннего аудитора, связанных с выполнением их функций, а также обеспечивать контролера (службу внутреннего контроля) и Внутреннего аудитора:

ресурсами (материальными, техническими, кадровыми), необходимыми и достаточными для достижения поставленных перед ними задач;

доступом к информации, необходимой для осуществления ими своих функций.

Глава 2. Требования к системе управления рисками бюро кредитных историй

2.1. В соответствии с частью 2_2 статьи 10 Федерального закона "О кредитных историях" бюро обязано организовать систему управления рисками бюро, связанными с осуществляемой им деятельностью по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, предусматривающую совокупность действий органов управления бюро и сотрудников бюро по разработке и реализации стратегии управления рисками бюро, включающей принятие бюро организационно-технических мер по идентификации рисков, присущих деятельности бюро, их анализу и оценке, определению приемлемого сочетания и уровня принимаемых рисков, а также мер по поддержанию рисков на приемлемом уровне, мониторингу и контролю процессов управления рисками (далее соответственно - стратегия управления рисками, система управления рисками).

2.2. В рамках разработки и реализации стратегии управления рисками органы управления бюро должны обеспечивать соответствие действий, которые бюро планирует осуществить для достижения поставленных целей, финансовых (бюджетных) планов или бизнес-планов бюро, организационной структуры бюро, штатной численности бюро и размера собственных средств квалифицированного бюро характеру и масштабу его деятельности, уровню и сочетанию рисков, присущих деятельности бюро.