Раздел 4. Принципы учета факторов риска и компонентов банковских рисков, связанных с пользованием услугами провайдеров для осуществления дистанционного банковского обслуживания. Письмо ЦБР от 26.10.2010 N 141-Т "О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания"

Раздел 4. Принципы учета факторов риска и компонентов банковских рисков, связанных с пользованием услугами провайдеров для осуществления дистанционного банковского обслуживания

4.1. В целях обеспечения эффективности управления банковскими рисками, в состав которых входят компоненты, связанные с использованием услуг провайдеров для осуществления ДБО, органам управления кредитной организации рекомендуется при выборе провайдеров, обоснованном с точки зрения минимизации указанных рисков:

обеспечивать точное соответствие планов внедрения и развития ДБО стратегическим целям кредитной организации с учётом его возможной зависимости от провайдеров;

определить во внутреннем документе кредитной организации подходы, используемые при выборе провайдеров, необходимых в её банковской деятельности, и сопровождения (поддержания) договорных отношений с ними на долгосрочную перспективу;

определить во внутренних документах кредитной организации меры по контролю с её стороны над надежностью провайдеров в части обеспечения ими осуществления ДБО, которое от них непосредственно зависит, а также обязанность по осуществлению данного контроля конкретным подразделением и ответственными исполнителями самой кредитной организации;

разрабатывать и внедрять процедуры мониторинга функционирования провайдеров кредитной организации и выполнения ими своих обязательств в соответствии с заключенными с ними договорами (контрактами);

осуществлять контроль ДБО, реализуемого с участием провайдеров кредитной организации, ориентированный на снижение уровней сопутствующих банковских рисков, перечисленных в пункте 3.1 настоящих Рекомендаций;

учитывать в процессе управления банковскими рисками особенности информационного контура ДБО и применения систем ДБО в целом наряду со специфичными для них факторами риска и компонентами банковских рисков, состав и масштабы банковских операций, осуществляемых в рамках ДБО, виды (информационная, технологическая, техническая) и степень зависимости кредитной организации и её клиентов от качества обслуживания со стороны провайдеров;

внедрять и совершенствовать процессы управления банковскими рисками, связанными с ДБО, на основе своевременного и полного выявления и анализа возможных новых компонентов банковских рисков, связанных с наличием в информационном контуре ДБО провайдеров;

оценивать возможности мониторинга функционирования провайдеров с учётом обязательств, принятых на себя кредитной организацией в отношении её клиентов, и содержания договоров на предоставление услуг, в том числе при добавлении новых банковских услуг, предоставляемых дистанционно или увеличении числа охваченных им клиентов кредитной организации и возникновении необходимости в повышении производительности систем ДБО и пропускной способности каналов справочно-информационного взаимодействия кредитной организации с клиентами;

оценивать возможности использования резервных способов и средств обслуживания клиентов в случае прекращения функционирования провайдеров без предварительного уведомления кредитной организации, а также возможности включения этих способов и средств в планы мероприятий на случай чрезвычайных обстоятельств и проведения регулярных проверок возможности реализации этих планов.

4.2. При организации управления банковскими рисками, указанными в пункте 3.1 настоящих Рекомендаций, и разработке соответствующих внутренних документов кредитной организации рекомендуется учитывать:

фактическую интеграцию технологий, используемых провайдерами, и систем, реализующих эти технологии, в информационный контур ДБО и, как следствие, возникновение зависимости кредитной организации и её клиентов от указанных технологий и систем;

необходимость совершенствования процессов управления банковской деятельностью (включая управление банковскими рисками) и её информатизацией, внутреннего контроля, обеспечения информационной безопасности с учетом использования провайдеров для обеспечения осуществления банковской деятельности;

необходимость повышения квалификации служащих кредитной организации, отвечающих за выбор провайдеров и взаимодействие с ними.

4.3. Управление банковскими рисками рекомендуется организовывать таким образом, чтобы обеспечить контроль над ДБО в целом, в том числе с учётом возможных обязательств провайдеров относительно функционирования аппаратно-программного обеспечения их систем и соответствующих гарантий в форме документального подтверждения этого, целостности и защищенности массивов данных, образующихся в процессе банковской деятельности кредитной организации, и результатов проведения внешнего аудита работы провайдеров.

4.4. Рекомендуется участие в процессе управления банковскими рисками следующих структурных подразделений, служащих кредитной организации, прямо или косвенно участвующих в организации и обеспечении ДБО (ввиду наличия в его информационном контуре провайдеров):

структурного подразделения, отвечающего за внедрение и применение информационных технологий (информатизацию и автоматизацию банковской деятельности), взаимодействие с провайдерами, а также с поставщиками аппаратно-программного обеспечения информационных систем и разработчиками информационных систем, используемых кредитной организацией и разработанных по её заказу;

структурного подразделения, отвечающего за правовое обеспечение деятельности кредитной организации;

служащего (или структурного подразделения), ответственного за соблюдение правил внутреннего контроля, в том числе осуществляемого в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

структурного подразделения, отвечающего за обеспечение информационной безопасности в кредитной организации;

структурного подразделения, отвечающего за управление банковскими рисками;

структурного подразделения, отвечающего за операционную работу с клиентами;

структурного подразделения, отвечающего за справочно-информационное взаимодействие с клиентами;

структурного подразделения, отвечающего за претензионную (рекламационную) работу.

4.5. Работа структурных подразделений и служащих кредитной организации, перечисленных в пункте 4.4 настоящих Рекомендаций, целесообразно организовывать и регламентировать с учетом описаний факторов риска и компонентов банковских рисков, упомянутых в пункте 2.2 настоящих Рекомендаций, с соответствующим отражением во внутренних документах об этих подразделениях и должностных инструкциях их руководителей и сотрудников (служащих).

4.6. В состав структурных подразделений кредитной организации, перечисленных в пункте 4.4 настоящих Рекомендаций, рекомендуется включать служащих, квалификация которых позволяет обеспечивать решение задач по применению и развитию ДБО на основе понимания причин возникновения рисков, связанных с наличием провайдеров кредитной организации в информационном контуре ДБО.

4.7. Определение подчинённости и подотчётности руководителей и ответственных исполнителей кредитной организации в рамках управления банковскими рисками, связанными с ДБО, и взаимодействия с её провайдерами, рекомендуется организовывать таким образом, чтобы обеспечить непрерывность, своевременность, полноту и адекватность информирования органов управления кредитной организации:

о текущем состоянии и характеристиках провайдеров, включая их финансовое состояние и технические параметры информационных и иных систем, использование которых предусмотрено договорами (контрактами), а также о перспективах выполнения ими принятых на себя обязательств перед кредитной организацией;

о выявленных недостатках в функционировании информационного контура ДБО в связи с недостатками в работе провайдеров (несоответствующим качеством предоставляемых услуг);

о связанных с ДБО факторах риска и компонентах банковских рисков;

о результатах выполнения принятых решений по управлению банковскими рисками, в том числе в отношении провайдеров кредитной организации;

о процедурах реагирования на события, которые могут негативно повлиять на безопасность, финансовую устойчивость или деловую репутацию кредитной организации (например, любые существенные нарушения в использовании информационных систем и (или) информационно-телекоммуникационных сетей, инциденты информационной безопасности (данное понятие введено Стандартом Банка России СТО ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"), критическое финансовое состояние провайдера и т.д.) и результатах выполнения этих процедур.

4.8. Кредитной организации в интересах обеспечения экономической эффективности привлечения провайдеров к обеспечению осуществления ею ДБО и снижения уровней сопутствующих ДБО банковских рисков рекомендуется выбирать провайдера для конкретного направления банковской деятельности на основе открытого или закрытого конкурса, учитывая, в том числе, следующие характеристики провайдера:

опыт в данной области предоставления услуг;

характеристики технического обеспечения предоставления услуг (надежность автоматизированных систем и систем связи, средства обеспечения этой надежности, состояние обеспечения информационной безопасности и защиты информации и пр.);

квалификация персонала, от которого прямо или косвенно зависит выполнение договорных обязательств;

мнение других клиентов (данного провайдера) о качестве предоставляемых услуг;

стоимость и условия предоставления услуг;

возможности мониторинга деятельности провайдера со стороны кредитной организации;

возможность заключения соглашений об уровне сервиса (Service Level Agreement), включая в них обслуживание автоматизированных систем, от которых зависит надежность кредитной организации).

4.9. Кредитной организации целесообразно при выборе провайдера учитывать стратегический план развития, прежде всего ДБО.

4.10. Кредитной организации рекомендуется оценить возможности выполнения минимально необходимых функций в части мониторинга надёжности информационных систем провайдера, его финансового состояния, а также обеспечения им информационной безопасности потоков данных, передаваемых между кредитной организацией и её клиентами.

4.11. Кредитной организации рекомендуется оценить возможности оказания методологической и консультационной помощи своим клиентам, пользующимся системами ДБО, доведения до них информации о принимаемых ими рисках, связанных с ДБО и возможно связанных с участием в ДБО того или иного провайдера.

4.12. Принятие решений при выборе провайдера кредитной организации, взаимодействие с которым необходимо для осуществления ДБО клиентов, целесообразно основывать на результатах анализа возможных банковских рисков. Рекомендуется предусмотреть резервные варианты ДБО клиентов в случае невозможности выполнения провайдером обязательств перед кредитной организацией.

4.13. В целях минимизации (снижения уровней) банковских рисков, сопутствующих осуществлению кредитными организациями ДБО с участием провайдеров и вызванных недостатками в обеспечении провайдерами информационной безопасности в информационном контуре ДБО, рекомендуется:

на основе описания факторов риска и компонентов банковских рисков определить во внутреннем документе кредитной организации соответствующие требования к обеспечению информационной безопасности (в том числе в зависимости от видов деятельности и технологий, используемых провайдерами);

при формировании требований к обеспечению информационной безопасности систем ДБО учитывать положения Стандарта Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения";

при выборе провайдеров оценивать степень реализации провайдером требований к обеспечению информационной безопасности, определенных кредитной организацией, а также возможность проведения дальнейшего контроля выполнения указанных требований с её стороны, при этом отказ провайдера в осуществлении такого контроля рекомендуется рассматривать как негативный фактор, влияющий на заключение договора (контракта) с ним.

4.14. Кредитной организации рекомендуется при выборе провайдеров оценивать возможность включения в договоры (контракты) с ними требований по обеспечению информационной безопасности, а также по осуществлению как внутреннего, так и внешнего аудита (в том числе - информационной безопасности).

4.15. Кредитной организации рекомендуется оценить возможность использования результатов независимого внешнего аудита провайдера.