Раздел 3. Банковские риски, сопутствующие осуществлению кредитными организациями дистанционного банковского обслуживания с участием провайдеров. Письмо ЦБР от 26.10.2010 N 141-Т "О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания"

Раздел 3. Банковские риски, сопутствующие осуществлению кредитными организациями дистанционного банковского обслуживания с участием провайдеров

3.1. К банковским рискам, уровни которых могут повышаться в связи с применением кредитной организацией ДБО, относятся: операционный, правовой, стратегический, ликвидности и риск потери деловой репутации (репутационный риск). Кредитным организациям целесообразно учитывать тот факт, что переход к ДБО сопровождается усложнением структур этих рисков за счет возникновения в них новых компонентов, обусловленных не существовавшими ранее угрозами надежности кредитных организаций в связи с изменением характера и условий банковской деятельности.

3.2. Причинами повышения уровня операционного риска при использовании ДБО могут являться:

нарушения функционирования (прерывания взаимодействия между клиентом и кредитной организацией в процессе ДБО, искажения передаваемых данных) используемых для осуществления ДБО информационных систем и информационно-телекоммуникационных сетей провайдеров кредитной организации, связанные с авариями, отказами, сбоями в работе оборудования и программного обеспечения, а также недостаточно надёжной организацией обеспечения прохождения потоков данных;

недостатки в обеспечении информационной безопасности потоков данных, относящихся к информационному взаимодействию между кредитной организацией и её клиентами и проходящих через информационные системы провайдеров;

неправомерный доступ к информационным ресурсам кредитной организации с применением сетевых информационных технологий, в том числе при (для) противоправной деятельности;

недостаточная производительность информационных систем и пропускная способность информационно-телекоммуникационных сетей провайдеров, задействованных в информационном контуре ДБО;

недостатки в функционировании аппаратно-программного обеспечения (включая его низкую надёжность) провайдеров, в том числе по вине разработчиков такого обеспечения;

недостаточная защищённость информационных систем провайдеров от сетевых атак;

невыполнение сторонними поставщиками услуг (исполнителями работ) договорных обязательств перед провайдерами.

3.3. Причинами повышения уровня правового риска при ДБО могут являться:

нарушения провайдерами требований законодательства Российской Федерации, в том числе из-за недостатков в функционировании их аппаратно-программного обеспечения;

несовершенство законодательства Российской Федерации (неурегулированность отдельных вопросов ДБО и ответственности сторон, в том числе при трансграничном оказании банковских услуг с помощью ДБО), а также особенности правоотношений кредитных организаций, использующих услуги провайдеров под юрисдикцией других государств, для осуществления трансграничного информационного взаимодействия;

неправомерный доступ к конфиденциальной информации во время её обработки, передачи и (или) хранения провайдерами кредитной организации;

неэффективная организация правовой работы, приводящая к ошибкам в действиях служащих и органов управления кредитной организации при организации взаимодействия с её провайдерами, в том числе при заключении договоров (контрактов) с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации, включая вопросы определения ответственности провайдеров при невыполнении обязательств по обеспечению осуществления ДБО, которые могут привести к невыполнению кредитной организацией своих обязательств перед клиентами, невыполнению установленных требований по обеспечению соответствия организации и содержанию банковской деятельности, невозможности предоставления информации правоохранительным органам при расследовании противоправной деятельности, а также при заключении с клиентами договоров на ДБО, в том числе определение ответственности сторон при невыполнении соответствующих обязательств;

нахождение филиалов кредитной организации, её клиентов, пользующихся ДБО, и провайдеров под юрисдикцией других государств.

3.4. Причинами повышения уровня стратегического риска при ДБО могут являться возможные убытки вследствие ошибочных решений органов управления кредитной организации в отношении применения технологии ДБО и (или) внедрения, сопровождения и использования систем ДБО, и (или) выбора провайдеров, что может быть обусловлено:

отсутствием или недостатками стратегического плана развития кредитной организации, предусматривающего использование ДБО;

невозможностью достижения стратегических целей, поставленных кредитной организацией, в связи с отсутствием или необеспечением в полном объёме необходимыми ресурсами (финансовыми, материально-техническими, людскими) и невыполнением организационных мер (управленческих решений) в части ДБО и систем, с помощью которых оно осуществляется, включая информационные системы и информационно-телекоммуникационные сети провайдеров;

ошибками в выборе видов ДБО или реализующих его технических решений, включая информационные системы и информационно-телекоммуникационные сети провайдеров;

чрезмерными затратами на внедрение и сопровождение систем ДБО и (или) их нерентабельностью, а также вынужденным отказом от услуг провайдеров (с учетом как финансовых, так и технических причин) и функционально связанными с ними информационными системами кредитной организации;

ошибками (просчетами) в политике кредитной организации, проводимой в отношении направлений банковской деятельности, связанных с применением ДБО в целом.

3.5. Причинами повышения уровня риска потери деловой репутации (репутационного риска) при ДБО могут являться:

уничтожение, искажение или хищение данных о клиентах кредитной организации, их счетах и банковских операциях и сделках в связи с сетевыми атаками в информационном контуре ДБО (в том числе нарушение банковской тайны, конфиденциальности данных и т.д.);

недоступность для клиентов кредитной организации, пользующихся ДБО, требуемых им функций системы ДБО или нарушение непрерывности функционирования аппаратно-программного обеспечения этой системы и (или) других технических средств, используемых провайдерами, приводящие к невыполнению кредитной организацией своих обязательств перед клиентами;

негативная оценка клиентами кредитной организации качества ДБО, (например, прерывание взаимодействия между клиентом и кредитной организацией в процессе ДБО, длительные задержки реакции на ордера клиентов и пр.) по причинам, связанным с невыполнением провайдерами кредитной организации своих договорных (контрактных) обязательств.

3.6. В условиях ДБО причиной повышения уровня риска ликвидности может стать неплатежеспособность кредитной организации, если своевременное или полное выполнение ею своих финансовых обязательств перед клиентами оказывается невозможно по техническим причинам, не зависящим от неё. Причинами повышения уровня указанного риска могут являться:

отказы и сбои в компьютерных системах провайдеров (в том числе кредитных организаций-контрагентов), через которые проходит информация, необходимая для осуществления ДБО;

аварии и отказы в информационно-телекоммуникационных сетях, предоставляемых провайдерами, через которые проходит информация в рамках ДБО.

3.7. Во внутренних документах кредитной организации при описании банковских рисков, перечисленных в пункте 3.1 настоящих Рекомендаций, целесообразно отражать их зависимость от провайдеров по каждому виду деятельности в соответствии с пунктом 2.3 настоящих Рекомендаций.

3.8. При использовании кредитной организацией нескольких систем ДБО рекомендуется учитывать возможное взаимное влияние компонентов банковских рисков, сопутствующих применению каждой такой системы, ввиду их проявления в структуре разных рисков (например, сбой в работе аппаратно-программного обеспечения, являющийся причиной возникновения операционного риска, может привести к негативной реакции клиента, проявляющейся в повышении уровня репутационного риска).

3.9. При выборе провайдера целесообразно предусмотреть его информирование о подходах к управлению банковскими рисками, принятых в кредитной организации, в части, относящейся к виду предоставляемых провайдером услуг.

3.10. При необходимости привлечения для осуществления ДБО нескольких провайдеров целесообразно использовать настоящие Рекомендации при выборе каждого из них независимо друг от друга.