лений и служащих кредитной организации, перечисленных в пункте 4.4 настоящих Рекомендаций, целесообразно организовывать и регламентировать с учетом описаний факторов риска и компонентов банковских рисков, упомянутых в пункте 2.2 настоящих Рекомендаций, с соответствующим отражением во внутренних документах об этих подразделениях и должностных инструкциях их руководителей и сотрудников (служащих).
4.6. В состав структурных подразделений кредитной организации, перечисленных в пункте 4.4 настоящих Рекомендаций, рекомендуется включать служащих, квалификация которых позволяет обеспечивать решение задач по применению и развитию ДБО на основе понимания причин возникновения рисков, связанных с наличием провайдеров кредитной организации в информационном контуре ДБО.
4.7. Определение подчиненности и подотчетности руководителей и ответственных исполнителей кредитной организации в рамках управления банковскими рисками, связанными с ДБО, и взаимодействия с ее провайдерами рекомендуется организовывать таким образом, чтобы обеспечить непрерывность, своевременность, полноту и адекватность информирования органов управления кредитной организации:
о текущем состоянии и характеристиках провайдеров, включая их финансовое состояние и технические параметры информационных и иных систем, использование которых предусмотрено договорами (контрактами), а также о перспективах выполнения ими принятых на себя обязательств перед кредитной организацией;
о выявленных недостатках в функционировании информационного контура ДБО в связи с недостатками в работе провайдеров (несоответствующим качеством предоставляемых услуг);
о связанных с ДБО факторах риска и компонентах банковских рисков;
о результатах выполнения принятых решений по управлению банковскими рисками, в том числе в отношении провайдеров кредитной организации;
о процедурах реагирования на события, которые могут негативно повлиять на безопасность, финансовую устойчивость или деловую репутацию кредитной организации (например, любые существенные нарушения в использовании информационных систем и (или) информационно-телекоммуникационных сетей, инциденты информационной безопасности (данное понятие введено Стандартом Банка России СТО ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"), критическое финансовое состояние провайдера и т.д.), и результатах выполнения этих процедур.
4.8. Кредитной организации в интересах обеспечения экономической эффективности привлечения провайдеров к обеспечению осуществления ею ДБО и снижения уровней сопутствующих ДБО банковских рисков рекомендуется выбирать провайдера для конкретного направления банковской деятельности на основе открытого или закрытого конкурса, учитывая, в том числе, следующие характеристики провайдера:
опыт в данной области предоставления услуг;
характеристики технического обеспечения предоставления услуг (надежность автоматизированных систем и систем связи, средства обеспечения этой надежности, состояние обеспечения информационной безопасности и защиты информации и пр.);
квалификация персонала, от которого прямо или косвенно зависит выполнение договорных обязательств;
мнение других клиентов (данного провайдера) о качестве предоставляемых услуг;
стоимость и условия предоставления услуг;
возможности мониторинга деятельности провайдера со стороны кредитной организации;
возможность заключения соглашения об уровне сервиса (Service Level Agreement), включая в них обслуживание автоматизированных систем, от которых зависит надежность кредитной организации).
4.9. Кредитной организации целесообразно при выборе провайдера учитывать стратегический план развития, прежде всего, ДБО.
4.10. Кредитной организации рекомендуется оценить возможности выполнения минимально необходимых функций в части мониторинга надежности информационных сист
> 1 2 3 ... 6 7 8