Банк России подготовил рекомендации по обеспечению непрерывности деятельности кредитных организаций

Банк России подготовил рекомендации по обеспечению непрерывности деятельности кредитных организаций

Банк России разработал Методические рекомендации 4-МР, посвященные управлению риском нарушения непрерывности деятельности в кредитных организациях.

Документ направлен на формирование единого подхода к обеспечению операционной устойчивости банков и применяется во взаимосвязи с требованиями Положения Банка России № 716-П.

Рекомендации описывают, каким образом кредитным организациям следует выстраивать внутреннюю систему управления данным риском: от его выявления и оценки до реагирования на события, восстановления критически важных процессов, мониторинга и информирования заинтересованных сторон.

Внутреннее регулирование и организация процессов

Кредитным организациям рекомендуется закрепить порядок управления риском нарушения непрерывности деятельности во внутренних документах.

Такая система должна быть комплексной и включать основные принципы обеспечения операционной устойчивости, распределение функций и ответственности, а также описание роли руководящего состава в управлении соответствующим риском.

Кроме того, во внутренних документах необходимо предусмотреть требования к ресурсному обеспечению. Речь идет не только о технологических ресурсах, но и о кадровом, финансовом и ином обеспечении, которое требуется для поддержания устойчивой работы ключевых процессов.

Отдельный блок процедур должен быть связан с идентификацией риска и его качественной оценкой. Для этого Методические рекомендации предусматривают использование сценарного анализа. Такой подход позволяет заранее определить возможные события, способные нарушить непрерывность деятельности, оценить их последствия и подготовить меры реагирования.

Также кредитным организациям рекомендуется установить порядок сбора и регистрации информации о событиях риска, процедуры реагирования на такие события, механизмы восстановления критически важных процессов и порядок последующего мониторинга.

Основным документом в этой системе должна выступать Политика обеспечения операционной устойчивости. Она дополняет План ОНиВД и иные организационные документы, регулирующие управление операционным риском и обеспечение операционной надежности. При подготовке такой Политики рекомендуется учитывать стратегию развития Банка, его бизнес-планирование, структуру деятельности и объем действующих обязательств.

Показатели, сценарии и планы восстановления 4-МР

В рамках управления риском нарушения непрерывности деятельности банковским организациям рекомендуется определить сигнальные и контрольные значения КПУР. Они должны устанавливаться с учетом оценки предельно допустимого негативного воздействия событий на деятельность кредитной организации.

Формирование таких значений осуществляется для целей операционной надежности. При этом необходимо учитывать требования Положения № 850-П, а также КПУОР, предусмотренные Положением № 716-П.

Меры реагирования и планы восстановления рекомендуется разрабатывать на основе сценарного анализа. При подготовке сценариев следует учитывать причины возможных событий, взаимосвязь критически важных процессов, а также их зависимость от внешних подрядчиков, контрагентов и участников банковской группы.

Дополнительно при определении сценариев рекомендуется анализировать недостатки в организации процессов и возможную концентрацию рисков на отдельных этапах деятельности. Это позволяет не ограничиваться формальным описанием угроз, а учитывать реальные уязвимости в работе кредитной организации.

Для каждого сценария необходимо оценивать его влияние на ключевые процессы. Такая оценка должна проводиться с учетом сферы деятельности Банка, взаимосвязанности процессов и степени зависимости от третьих сторон, включая подрядчиков, контрагентов и участников банковской группы.

Взаимодействие, обучение и реагирование по рекомендациям ЦБ

Методические рекомендации также предусматривают необходимость определить порядок взаимодействия с третьими лицами, в том числе с клиентами, при реализации событий риска нарушения непрерывности деятельности.

Подходы к реагированию должны учитывать специфику каждого направления деятельности и входящих в него процессов. Для них рекомендуется установить минимально допустимые целевые уровни функционирования как в штатном, так и во внештатном режиме. Это необходимо для понимания того, какой уровень работы должен поддерживаться даже при возникновении неблагоприятных событий.

Отдельное внимание уделяется подготовке работников. Кредитным организациям рекомендуется проводить обучение, развивать компетенции сотрудников и повышать их осведомленность в вопросах обеспечения операционной устойчивости.
Также рекомендуется сформировать комплекс мер, направленных на повышение эффективности управления риском нарушения непрерывности деятельности и снижение его возможного негативного влияния.

Информирование и отчетность по 4-МР

При возникновении событий, которые могут привести к нарушению непрерывности деятельности, кредитным организациям рекомендуется своевременно информировать клиентов, акционеров, органы управления, работников, контрагентов, внешних подрядчиков и других участников банковской группы.

В уведомлениях может отражаться информация о переходе к режиму работы, предусмотренному планом обеспечения и восстановления деятельности. Кроме того, организациям рекомендуется разработать процедуры управления чрезвычайными ситуациями и порядок подготовки внутренних отчетов.

Если риск нарушения непрерывности деятельности связан с нарушением операционной надежности вследствие реализации информационных угроз, рекомендуется применять положения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022.

Таким образом, Методические рекомендации 4-МР объединяют подходы к обеспечению операционной устойчивости кредитных организаций и связывают их с требованиями Положений Банка России № 716-П, № 850-П, № 242-П, а также ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022.