4.1. В целях обеспечения эффективности управления банковскими рисками, в состав которых входят компоненты, связанные с использованием услуг провайдеров для осуществления ДБО, органам управления кредитной организации рекомендуется при выборе провайдеров, обоснованном с точки зрения минимизации указанных рисков:
обеспечивать точное соответствие планов внедрения и развития ДБО стратегическим целям кредитной организации с учетом его возможной зависимости от провайдеров;
определить во внутреннем документе кредитной организации подходы, используемые при выборе провайдеров, необходимых в ее банковской деятельности, и сопровождения (поддержания) договорных отношений с ними на долгосрочную перспективу;
определить во внутренних документах кредитной организации меры по контролю с ее стороны над надежностью провайдеров в части обеспечения ими осуществления ДБО, которое от них непосредственно зависит, а также обязанность по осуществлению данного контроля конкретным подразделением и ответственными исполнителями самой кредитной организации;
разрабатывать и внедрять процедуры мониторинга функционирования провайдеров кредитной организации и выполнения ими своих обязательств в соответствии с заключенными с ними договорами (контрактами);
осуществлять контроль ДБО, реализуемого с участием провайдеров кредитной организации, ориентированный на снижение уровней сопутствующих банковских рисков, перечисленных в пункте 3.1 настоящих Рекомендаций;
учитывать в процессе управления банковскими рисками особенности информационного контура ДБО и применения систем ДБО в целом наряду со специфичными для них факторами риска и компонентами банковских рисков, состав и масштабы банковских операций, осуществляемых в рамках ДБО, виды (информационная, технологическая, техническая) и степень зависимости кредитной организации и ее клиентов от качества обслуживания со стороны провайдеров;
внедрять и совершенствовать процессы управления банковскими рисками, связанными с ДБО, на основе своевременного и полного выявления и анализа возможных новых компонентов банковских рисков, связанных с наличием в информационном контуре ДБО провайдеров;
оценивать возможности мониторинга функционирования провайдеров с учетом обязательств, принятых на себя кредитной организацией в отношении ее клиентов, и содержания договоров на предоставление услуг, в том числе при добавлении новых банковских услуг, предоставляемых дистанционно, или увеличении числа охваченных им клиентов кредитной организации и возникновении необходимости в повышении производительности систем ДБО и пропускной способности каналов справочно-информационного взаимодействия кредитной организации с клиентами;
оценивать возможности использования резервных способов и средств обслуживания клиентов в случае прекращения функционирования провайдеров без предварительного уведомления кредитной организации, а также возможности включения этих способов и средств в планы мероприятий на случай чрезвычайных обстоятельств и проведения регулярных проверок возможности реализации этих планов.
4.2. При организации управления банковскими рисками, указанными в пункте 3.1 настоящих Рекомендаций, и разработке соответствующих внутренних документов кредитной организации рекомендуется учитывать:
фактическую интеграцию технологий, используемых провайдерами, и систем, реализующих эти технологии, в информационный контур ДБО и, как следствие, возникновение зависимости кредитной организации и ее клиентов от указанных технологий и систем;
необходимость совершенствования процессов управления банковской деятельностью (включая управление банковскими рисками) и ее информатизацией, внутреннего контроля, обеспечения информационной безопасности с учетом использования провайдеров для обеспечения осуществления банковской деятельности;
необходимость повышения квалификации служащих кредитной организации, отвечающих за выбор провайдеров и взаимодействие с ними.
4.3. Управление банковскими рисками рекомендуется организовывать таким образом, чтобы обеспечить контроль над ДБО в целом, в том числе с учетом возможных обязательств провайдеров относительно функционирования аппаратно-программного обеспечения их систем и соответствующих гарантий в форме документального подтверждения этого, целостности и защищенности массивов данных, образующихся в процессе банковской деятельности кредитной организации, и результатов проведения внешнего аудита работы провайдеров.
4.4. Рекомендуется участие в процессе управления банковскими рисками следующих структурных подразделений, служащих кредитной организации, прямо или косвенно участвующих в организации и обеспечении ДБО (ввиду наличия в его информационном контуре провайдеров):
структурного подразделения, отвечающего за внедрение и применение информационных технологий (информатизацию и автоматизацию банковской деятельности), взаимодействие с провайдерами, а также с поставщиками аппаратно-программного обеспечения информационных систем и разработчиками информационных систем, используемых кредитной организацией и разработанных по ее заказу;
структурного подразделения, отвечающего за правовое обеспечение деятельности кредитной организации;
служащего (или структурного подразделения), ответственного за соблюдение правил внутреннего контроля, в том числе осуществляемого в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
структурного подразделения, отвечающего за обеспечение информационной безопасности в кредитной организации;
структурного подразделения, отвечающего за управление банковскими рисками;
структурного подразделения, отвечающего за операционную работу с клиентами;
структурного подразделения, отвечающего за справочно-информационное взаимодействие с клиентами;
структурного подразделения, отвечающего за претензионную (рекламационную) работу.
4.5. Работа структурных подразделений и служащих кредитной организации, перечисленных в пункте 4.4 настоящих Рекомендаций, целесообразно организовывать и регламентировать с учетом описаний факторов риска и компонентов банковских рисков, упомянутых в пункте 2.2 настоящих Рекомендаций, с соответствующим отражением во внутренних документах об этих подразделениях и должностных инструкциях их руководителей и сотрудников (служащих).
4.6. В состав структурных подразделений кредитной организации, перечисленных в пункте 4.4 настоящих Рекомендаций, рекомендуется включать служащих, квалификация которых позволяет обеспечивать решение задач по применению и развитию ДБО на основе понимания причин возникновения рисков, связанных с наличием провайдеров кредитной организации в информационном контуре ДБО.
4.7. Определение подчиненности и подотчетности руководителей и ответственных исполнителей кредитной организации в рамках управления банковскими рисками, связанными с ДБО, и взаимодействия с ее провайдерами, рекомендуется организовывать таким образом, чтобы обеспечить непрерывность, своевременность, полноту и адекватность информирования органов управления кредитной организации:
о текущем состоянии и характеристиках провайдеров, включая их финансовое состояние и технические параметры информационных и иных систем, использование которых предусмотрено договорами (контрактами), а также о перспективах выполнения ими принятых на себя обязательств перед кредитной организацией;
о выявленных недостатках в функционировании информационного контура ДБО в связи с недостатками в работе провайдеров (несоответствующим качеством предоставляемых услуг);