назначение в кредитной организации лица (лиц), ответственного (ответственных) за реализацию процессов управления рисками ЭБ и их мониторинг.

К этим процессам целесообразно привлекать структурные подразделения (службы, служащих), прямо или косвенно участвующие в функционировании СЭБ или отвечающие за внедрение и применение информационных технологий, обеспечение информационной безопасности, правовое обеспечение деятельности кредитной организации, соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также за операционную работу с клиентами.

Кредитной организации рекомендуется оказывать методологическую и консультационную помощь клиентам ЭБ, доводить до них информацию о принимаемых ими рисках, а также необходимом комплексе мер по защите информации.

Во внутренних документах кредитной организации, связанных с управлением ЭБ и контролем за функционированием реализующих его систем, рекомендуется определить роль органов управления и структурных подразделений кредитной организации:

– в распределении полномочий между органами управления кредитной организации (советом директоров, единоличным и коллегиальным исполнительными органами);

– распределении прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений и служащих, в обязанности которых входят выполнение функций в рамках ЭБ и управление рисками, связанными с данным видом ДБО;

– реализации учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения СЭБ;

– определении допустимых уровней банковских рисков, принимаемых кредитной организацией при использовании СЭБ;

– определении порядка информирования органов управления кредитной организации о выявленных источниках (факторах) банковских рисков и принятии мер, обеспечивающих снижение уровня рисков.

В целях создания условий для эффективного управления рисками рекомендуется разработать внутренние документы, в которых реализовать основные принципы управления каждым видом риска, в том числе с учетом применения СЭБ. Внутренние документы по управлению рисками с учетом применения технологий ЭБ утверждаются советом директоров.

Управление рисками, связанными с применением СЭБ, состоит из выявления, оценки, мониторинга, контроля и (или) минимизации операционного риска. Во внутренних документах кредитной организации рекомендуется определить основные принципы управления рисками:

– методики выявления, оценки и мониторинга рисков;

– основные методы контроля и (или) минимизации рисков (принятие мер по поддержанию риска на уровне, не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной организации);

– порядок доведения результатов мониторинга до руководства кредитной организации.

Кредитные организации могут разрабатывать методы оценки риска самостоятельно либо использовать методы, принятые в международной банковской практике.

В целях предупреждения возможности повышения уровня рисков рекомендуется проводить мониторинг рисков, связанных с применением ЭБ.

Контроль функционирования системы управления банковскими рисками рекомендуется осуществлять на постоянной основе в порядке, установленном внутренними документами кредитной организации.

Периодичность проведения мониторинга рисков рекомендуется определять на основе его существенности для обеспечения непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок кредитной организации.

Обеспечение контроля своевременной идентификации, оценки и принятия мер по минимизации банковских рисков в области технологий ЭБ, а также выработку рекомендаций по минимизации банковских рисков рекомендуется возложить на СВА.

Процедуры оценки рисков можно разделить на два направления: оперативное и последующее. В рамках оперативного направления производится регулярная оценка уровня основных рисков. При этом уровень рисков оценивается с использованием тех показателей, расчет которых возможен в текущем режиме. Результаты оценки уровня рисков представляются руководству банка и СВК. Последующая оценка рисков проводится СВА и включает в себя анализ показателей оперативной оценки.

При внедрении новых и модернизации используемых информационных технологий необходимо пересмотреть методологию оценки управления банковскими рисками, а также иные внутренние документы, регламентирующие порядок управления рисками, и внести в них соответствующие изменения.

В соответствии с рекомендациями БКБН во внутренних документах по операционному риску в области применения СЭБ необходимо раскрыть организационные вопросы, связанные:

– с аутентификацией идентичности и авторизацией клиентов;

– доказательным подтверждением операций;

– обеспечением целостности данных в транзакциях, записях и информации ЭБ;

– обеспечением должных средств авторизации и полномочий доступа к системам, базам данных и приложений ЭБ;

– организацией документирования аудита транзакций ЭБ;

– обеспечением конфиденциальности наиболее значимой банковской и клиентской информации;

– должным раскрытием информации об обслуживании в рамках ЭБ на веб-сайтах кредитной организации;

– планированием производительности, непрерывности операций и учетом непредвиденных обстоятельств при обеспечении доступности систем и услуг ЭБ;

– планированием мероприятий на случай аварийных ситуаций.

Минимизация операционного риска, связанного с применением СЭБ, предполагает осуществление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и (или) на уменьшение (ограничение) размера потенциальных операционных убытков.

Методы минимизации операционного риска рекомендуется применять с учетом характера и масштабов деятельности кредитной организации.

В целях обеспечения условий для эффективного выявления операционного риска, а также его оценки следует вести аналитическую базу данных о понесенных операционных убытках, в которой отражать сведения об их видах и размерах в разрезе уровней выявления риска, обстоятельств возникновения операционных убытков.

Рекомендуется установить во внутренних документах порядок рассмотрения и расследования фактов операционных убытков и причин их возникновения, периодичность оценки органами управления кредитной организации результатов указанных расследований, а также оценки достигнутого уровня управления операционным риском в кредитной организации.

В целях ограничения операционного риска рекомендуется предусмотреть комплексную систему мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности).

Кредитной организации рекомендуется разработать программу мер, направленную на снижение и минимизацию риска потери ликвидности при использовании СЭБ, включающую в том числе меры:

– по противодействию хищениям денежных средств;

– снижению вероятности возникновения сбоев в работе автоматизированных систем кредитной организации (или меры на случай возникновения таких ситуаций);

– снижению вероятности возникновения сбоев в работе автоматизированных систем провайдеров и других поставщиков услуг (или меры на случай возникновения таких ситуаций).

Во внутренних документах по управлению правовым риском и риском потери деловой репутации с учетом применения СЭБ целесообразно учесть рекомендации, изложенные в Письме Банка России от 30.06.2005 № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».

Во внутреннем документе по управлению правовым риском в области применения ЭБ рекомендуется предусмотреть процедуры выявления, идентификации и оценки рисков, в том числе возникающих по причине:

– несоблюдения требований нормативно-инструктивных документов, регламентирующих банковскую деятельность;

– несовершенства правовой системы;

– несоответствия внутренних документов кредитной организации законодательству Российской Федерации;

– неэффективной организации правовой работы, приводящей к ошибкам в действиях служащих и органов управления кредитной организации при разработке и внедрении новых технологий ЭБ;

– нарушения условий договоров кредитной организацией (включая договоры с клиентами на обслуживание с применением СЭБ и договоры с провайдерами услуг);

– нарушения условий договоров клиентами кредитной организации;

– нарушения условий договоров провайдерами услуг.

В целях снижения риска потери деловой репутации кредитной организации следует предусмотреть процедуры выявления, идентификации и оценки данного риска, в том числе:

– с учетом принципа «знай своего клиента»;

– с учетом принципа «знай своего работника»;

– связанные с содержанием и ведением веб-сайта кредитной организации;

– связанные с обеспечением защиты конфиденциальности клиентской и банковской информации;

– связанные с обеспечением непрерывности функционирования СЭБ.

Во внутренних документах по управлению стратегическим риском в условиях применения СЭБ рекомендуется учесть рекомендации, изложенные в Письме Банка России от 13.09.2005 № 119-Т «О современных подходах к организации корпоративного управления в кредитных