Приложение 3

к Положению Банка России

от 6 августа 2015 года N 483-П

"О порядке расчета величины

кредитного риска на основе

внутренних рейтингов"

ТРЕБОВАНИЯ

К КАЧЕСТВУ ДАННЫХ, ИСПОЛЬЗУЕМЫХ БАНКАМИ ДЛЯ СОЗДАНИЯ

И ПРИМЕНЕНИЯ МОДЕЛЕЙ КОЛИЧЕСТВЕННОЙ ОЦЕНКИ КРЕДИТНОГО РИСКА

ДЛЯ ЦЕЛЕЙ РАСЧЕТА НОРМАТИВОВ ДОСТАТОЧНОСТИ КАПИТАЛА

Список изменяющих документов

(в ред. Указаний Банка России от 10.03.2019 N 5091-У,

от 06.07.2021 N 5849-У)

1. Банк определяет во внутренних документах методику и порядок обеспечения качества используемых для создания и применения моделей количественной оценки кредитного риска для целей расчета нормативов достаточности капитала (далее - модели оценки риска) данных (далее - данные), в том числе первичных данных (зафиксированных в реализующих ПВР информационных системах (далее - ИС) банка, обеспечивающих ввод и хранение данных, используемых им для целей бухгалтерского, аналитического и (или) управленческого учета и в моделях оценки риска (далее - учетные ИС) и преобразованных данных (полученных для создания и применения моделей оценки риска), в разрезах следующих характеристик качества данных:

(в ред. Указания Банка России от 10.03.2019 N 5091-У)

(см. текст в предыдущей редакции)

отсутствие синтаксических и семантических ошибок в данных, а также их соответствие реальным и статистически наиболее вероятным значениям свойств, характеристик и параметров, зафиксированных в данных (точность и достоверность данных);

достаточность объема данных (количества хранящихся в ИС записей), глубины данных (периода данных, необходимого для создания и применения моделей оценки риска) и широты данных (охвата данными всех разрезов, свойств и характеристик объектов, к которым применяются модели оценки риска) (полнота данных);

обязательность фиксирования и использования для создания и применения моделей оценки риска данных на дату, требуемую для указанных моделей (актуальность данных);

взаимная непротиворечивость данных, хранящихся во всех внутренних ИС банка, в том числе обеспечивающих бухгалтерский учет, и во всех доступных банку внешних ИС и иных источниках информации, в том числе в документах на бумажных носителях, а также целостность соответствующих идентификационных ссылок в структурах баз данных (согласованность данных);

возможность использования данных в существующей форме представления в моделях оценки риска (доступность данных);

возможность осуществления контроля качества и происхождения данных, в том числе посредством отражения в ИС источников данных, истории создания, изменения, преобразования, удаления, хранения и передачи данных (контролируемость данных);

возможность сохранять установленный уровень функциональности и качества данных после их утраты, повреждения или изменения в результате сбоев или иных нарушений работы ИС, ошибок или иных непредусмотренных действий персонала (восстанавливаемость данных).

Банк с учетом характера и масштаба осуществляемых операций, уровня и сочетания принимаемых рисков, действующих бизнес-процессов, текущих и стратегических планов развития, доступных возможностей может самостоятельно определить во внутренних документах дополнительные характеристики качества данных, необходимые для обеспечения достаточной эффективности моделей оценки риска.

2. Методики обеспечения качества данных банка включают следующие элементы:

детализированный классификатор возможных источников и причин образования некачественных данных в ИС;

показатели (индикаторы) качества данных на всех стадиях жизненного цикла данных для оценки характеристик, указанных в пункте 1 настоящего приложения, разрабатываемые банком для различных функциональных областей бизнеса и ИС, использующих данные (примеры показателей приведены в таблице 1 пункта 6 настоящего приложения);

(в ред. Указания Банка России от 10.03.2019 N 5091-У)

(см. текст в предыдущей редакции)

показатели (индикаторы) эффективности методов, алгоритмов и средств обеспечения качества данных (далее - показатели эффективности), под которой понимается способность соответствующего метода, алгоритма, средства своевременно выявлять и устранять в данных ошибки, неточности и иные нарушения, негативно влияющие на результаты модели оценки кредитного риска (примеры показателей приведены в таблице 2 пункта 6 настоящего приложения);

(в ред. Указания Банка России от 10.03.2019 N 5091-У)

(см. текст в предыдущей редакции)

методы и алгоритмы расчета, правила измерения показателей качества данных и показателей эффективности, в том числе с использованием контрольных выборок данных;

критерии оценки качества данных;

критерии оценки эффективности методов, алгоритмов и средств обеспечения качества данных (далее - критерии оценки эффективности);

предельно допустимые значения показателей качества данных и показателей эффективности.

Банк может самостоятельно определить во внутренних документах иные элементы методик обеспечения качества данных.

Указанные элементы разрабатываются и применяются с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также типов и форматов.

3. Порядок обеспечения качества данных банка включает следующие элементы:

процедуры измерения показателей качества данных и показателей эффективности;

процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных и показателей эффективности, критериев оценки качества данных и критериев оценки эффективности;

процедуры реагирования на случаи нарушения установленных банком предельно допустимых значений показателей качества данных и показателей эффективности, установленных критериев оценки качества данных и критериев оценки эффективности;

процедуры, правила и периодичность контроля и формирования отчетов о качестве данных, в том числе используемых при построении, валидации и применении моделей оценки рисков, об эффективности методов, алгоритмов и средств обеспечения качества данных, о соблюдении мер контроля качества данных;

процедуры исправления выявленных ошибок в данных и документирования внесенных изменений, а также процедуры повышения качества данных, применяемые в случае обнаружения записей с пропущенными (пустыми) значениями первичных данных, используемых при построении и валидации моделей оценки рисков, и позволяющие заполнить пропуски информацией из внутренних и внешних источников (в том числе кредитных досье, внутренних ИС банка, внешних ИС);

(в ред. Указания Банка России от 06.07.2021 N 5849-У)

(см. текст в предыдущей редакции)

порядок взаимодействия по вопросам обеспечения качества данных органов управления, подразделений и должностных лиц банка, устанавливающий их полномочия, ответственность, подотчетность и обеспечение необходимыми ресурсами, в том числе определение в банке должностного лица (лиц), несущего (несущих) персональную ответственность за обеспечение требуемого качества данных банка;

порядок и периодичность (не реже одного раза в месяц) сверки данных, используемых для применения моделей оценки риска, в том числе для определения значений компонентов и параметров кредитного риска, с данными бухгалтерского учета;

порядок и периодичность (не реже одного раза в год) проведения аудита качества данных и эффективности мер контроля качества данных.

Банк может самостоятельно определить во внутренних документах иные элементы порядков обеспечения качества данных.

4. Банк планирует и непрерывно осуществляет работу по обеспечению качества данных, соблюдая установленные во внутренних документах соответствующие методики и порядки. В соответствии с внутренними документами в ИС банка фиксируются результаты работы и принимаемые меры по обеспечению качества данных, отчеты о которых рассматриваются уполномоченным органом банка не реже одного раза в полгода.

Банк контролирует соблюдение предельно допустимых значений показателей качества данных, установленных согласно абзацу восьмому пункта 2 настоящего приложения, и при их нарушении должен применять консервативный подход к оценке кредитного риска.

(абзац введен Указанием Банка России от 10.03.2019 N 5091-У)

5. Для целей обеспечения качества данных банк соблюдает следующие требования к используемым ИС, определение которых установлено пунктом 3 статьи 2 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243; N 48, ст. 6645; 2015, N 1, ст. 84):

во внутренних документах банках, определяющих использование в банке ИС, содержатся положения по применению внутренних методик управления рисками и моделей оценки риска с использованием ИС;

банк осуществляет периодические (не реже одного раза в год) оценки состава, архитектуры и характеристик ИС на их достаточность для надежного применения методик управления рисками и моделей оценки риска, по результатам которых принимает меры по устранению выявленных недостатков в ИС (в случае их выявления);

банк обеспечивает непрерывное функционирование своих ИС, используемых в применении методик управления рисками и моделей оценки риска, а также в обеспечении требуемого внутренними документами качества данных, независимо от смены персонала, обеспечивающего работу ИС;

банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений хранящихся в них данных, используемых для применения моделей оценки риска, в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", путем принятия следующих мер по обеспечению информационной безопасности:

мер по обеспечению информационной безопасности ИС на стадиях их жизненного цикла;

мер по управлению доступом к данным и регистрацией доступа к данным;

мер по применению средств защиты от воздействия вредоносного кода;

мер по обеспечению информационной безопасности при использовании информационно-телекоммуникационной сети "Интернет";

мер по обеспечению информационной безопасности с помощью средств криптографической защиты информации;

мер по обнаружению инцидентов информационной безопасности и реагированию на них;

мер по мониторингу обеспечения информационной безопасности.

Банк может самостоятельно определить дополнительные требования к используемым ИС.

6. В таблицах 1 и 2 приведены примеры показателей качества данных и показателей эффективности, которые банк может использовать в зависимости от масштабов и характера своей деятельности, технических возможностей своих ИС, особенностей используемых данных и моделей оценки риска.