8(1).1. Кредитная организация (головная кредитная организация банковской группы) определяет следующие элементы управления риском аутсорсинга:

перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы), передаваемых на аутсорсинг, определяемый в соответствии с приложением 6 к настоящему Положению;

основные принципы организации управления риском аутсорсинга, включая условия и ограничения аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов;

перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы), которые не подлежат передаче на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);

организационную структуру управления риском аутсорсинга в кредитной организации (головной кредитной организации банковской группы), в том числе исключающую конфликт интересов в рамках управления риском аутсорсинга, а также предполагающую определение специализированного подразделения (специализированных подразделений) кредитной организации (головной кредитной организации банковской группы), ответственного (ответственных) за организацию аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов (далее соответственно - организация аутсорсинга, подразделение, ответственное за организацию аутсорсинга), не являющегося (не являющихся) подразделением (подразделениями) кредитной организации (головной кредитной организации банковской группы) - заказчиком (заказчиками) аутсорсинга, ответственным (ответственными) за осуществление функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) (далее - заказчик аутсорсинга);

требования к созданию ресурсного (кадрового и финансового) обеспечения для организации аутсорсинга;

мероприятия и процедуры управления риском аутсорсинга;

сигнальные и контрольные значения контрольных показателей уровня риска аутсорсинга, устанавливаемые в соответствии с пунктом 8(1).9 настоящего Положения;

основные принципы организации контроля за организацией аутсорсинга.

8(1).2. Кредитная организация (головная кредитная организация банковской группы) для целей управления риском аутсорсинга, в том числе риском аутсорсинга ИС, определяет:

функции и полномочия подразделений кредитной организации (головной кредитной организации банковской группы) в рамках управления риском аутсорсинга;

порядок организации ресурсного (кадрового и финансового) обеспечения кредитной организации (головной кредитной организации банковской группы), включая установление требований к квалификации работников подразделения, ответственного за организацию аутсорсинга;

порядок идентификации риска аутсорсинга, а также оценки его уровня в соответствии с подпунктами 2.1.1, 2.1.4 и 2.1.5 пункта 2.1 настоящего Положения;

порядок сбора и регистрации информации о событиях (случаях) фактической реализации риска аутсорсинга, вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска аутсорсинга), в соответствии с подпунктом 2.1.2 пункта 2.1 настоящего Положения;

порядок мониторинга риска аутсорсинга, осуществляемого в соответствии с подпунктом 2.1.7 пункта 2.1 и пунктом 8(1).6 настоящего Положения;

порядок обеспечения соответствия фактических значений контрольных показателей уровня риска аутсорсинга определенным кредитной организацией (головной кредитной организацией банковской группы) значениям в соответствии с главой 5 и пунктом 8(1).9 настоящего Положения;

планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение качества управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга, в соответствии с подпунктом 4.1.5 пункта 4.1 и пунктом 8(1).7 настоящего Положения;

порядок реагирования на выявленные события риска аутсорсинга и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации событий риска аутсорсинга;

порядок и периодичность формирования отчетов подразделений кредитной организации (головной кредитной организации банковской группы) в соответствии с абзацем десятым подпункта 8(1).7.6 пункта 8(1).7, абзацем пятым подпункта 8(1).10.1 пункта 8(1).10 и пунктом 8(1).12 настоящего Положения.

Подразделение, ответственное за организацию аутсорсинга, проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра требований к управлению риском аутсорсинга в зависимости от вида и характера функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов мероприятий и процедур управления риском аутсорсинга, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, для принятия решения о необходимости внесения изменений в требования к управлению риском аутсорсинга в соответствии с пунктом 4.6 настоящего Положения.

8(1).3. Кредитная организация (головная кредитная организация банковской группы) устанавливает требования к процедурам управления риском аутсорсинга критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов, передаваемых на аутсорсинг:

третьим лицам (внешним подрядчикам, контрагентам), не связанным с кредитной организацией (головной кредитной организацией банковской группы);

третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), связанным с кредитной организацией (головной кредитной организацией банковской группы) (далее - третьи лица, связанные с кредитной организацией (головной кредитной организацией банковской группы);

привлекаемым организациям при аутсорсинге ИС.

Для целей управления риском аутсорсинга связанность третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) с кредитной организацией (головной кредитной организацией банковской группы) определяется в соответствии с частями второй - пятой статьи 64.1 Федерального закона N 86-ФЗ.

8(1).4. Кредитная организация (головная кредитная организация банковской группы) определяет процедуры количественной и качественной оценок уровня риска аутсорсинга, проводимые в соответствии с подпунктами 2.1.4 и 2.1.5 пункта 2.1 настоящего Положения, в том числе предусматривающие проведение анализа внутренних и внешних факторов, связанных с осуществлением аутсорсинга.

8(1).4.1. Кредитная организация (головная кредитная организация банковской группы) при проведении процедур количественной и качественной оценок уровня риска аутсорсинга оценивает внешние факторы, связанные с его осуществлением, в том числе:

уровень негативного влияния, в том числе величину финансовых потерь, потерь деловой репутации и иных видов потерь кредитной организации (головной кредитной организации банковской группы), в случае невыполнения или ненадлежащего выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

величину потерь средств клиентов и контрагентов кредитной организации (головной кредитной организации банковской группы) в случае невыполнения или ненадлежащего выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

влияние аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов на вероятность реализации риска, указанного в абзаце седьмом пункта 1.4 настоящего Положения;

уровень негативного влияния, в том числе величину финансовых потерь, потерь деловой репутации и иных видов потерь кредитной организации (головной кредитной организации банковской группы), в случае нарушения безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов.

8(1).4.2. Кредитная организация (головная кредитная организация банковской группы) при проведении процедуры качественной оценки уровня риска аутсорсинга в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения оценивает внутренние факторы, связанные с его осуществлением, в том числе:

взаимосвязи между процессами кредитной организации (головной кредитной организации банковской группы) в том числе на основании зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

особенности оказания услуг и (или) выполнения функций, операций, процессов и (или) этапов процессов, переданных на аутсорсинг, и возможность замены третьего лица (внешнего подрядчика, контрагента, участника банковской группы), оказывающего данные услуги и (или) выполняющего функции, операции, процессы и (или) этапы процессов, на другое третье лицо (внешнего подрядчика, контрагента, участника банковской группы) или кредитную организацию (головную кредитную организацию банковской группы), передавшую функции, операции, услуги, процессы и (или) этапы процессов на аутсорсинг;

наличие связанности между кредитной организацией (головной кредитной организацией банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

стоимость оказания услуг и (или) выполнения функций, операций, процессов и (или) этапов процессов третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы).

Кредитная организация (головная кредитная организация банковской группы) проводит качественную оценку риска аутсорсинга ИС путем определения вероятности его реализации и оценки негативного влияния реализации угроз, моделирование которых осуществляется кредитной организацией (головной кредитной организацией банковской группы) в соответствии с абзацем девятнадцатым подпункта 2.1.5 пункта 2.1 настоящего Положения. В том числе кредитная организация оценивает:

уровень негативного влияния в случае нарушения безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов при аутсорсинге ИС;

уровень негативного влияния в случае нарушения требований к обеспечению защиты информации и операционной надежности кредитной организации (головной кредитной организации банковской группы).

Кредитная организация (головная кредитная организация банковской группы) проводит качественную оценку риска аутсорсинга до начала осуществления аутсорсинга функций, операций, услуг, процессов и (или) этапов процессов, а также включает ее в план проведения качественной оценки, разрабатываемый на ежегодной основе в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения.

8(1).5. Кредитная организация (головная кредитная организация банковской группы) выявляет и регистрирует события риска аутсорсинга с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложением 4 к настоящему Положению, в том числе с указанием в базе событий внутренних и (или) внешних источников реализации таких событий информации о третьих лицах (внешних подрядчиках, контрагентах, участниках банковской группы), оказывающих соответствующие услуги и (или) выполняющих соответствующие функции, операции, процессы и (или) этапы процессов кредитной организации (головной кредитной организации банковской группы), состав которой определяет кредитная организация (головная кредитная организация банковской группы), видов и величины потерь от реализации событий риска аутсорсинга, а также последствий в виде реализации других видов риска (в том числе риск потери деловой репутации, правовой риск, стратегический риск, риск нарушения непрерывности деятельности).

Кредитная организация (головная кредитная организация банковской группы) относит к событиям риска аутсорсинга ИС инциденты защиты информации и инциденты операционной надежности в значении, установленном в пункте 3 Положения Банка России от 12 января 2022 года N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (зарегистрировано Минюстом России 8 апреля 2022 года, регистрационный N 68140, с изменениями, внесенными Указанием Банка России от 6 октября 2023 года N 6569-У (зарегистрировано Минюстом России 25 декабря 2023 года, регистрационный N 76594) (далее - Положение Банка России N 787-П), вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) при аутсорсинге ИС.

8(1).6. Кредитная организация (головная кредитная организация банковской группы) определяет и проводит процедуру мониторинга риска аутсорсинга, осуществляемого в соответствии с подпунктом 2.1.7 пункта 2.1 настоящего Положения, включая:

мониторинг связанности между третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), которым переданы на аутсорсинг функции, операции, услуги, процессы и (или) этапы процессов кредитной организации (головной кредитной организации банковской группы);

мониторинг наличия зависимости оказания услуг и (или) выполнения функций, операций, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) от одного или группы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

мониторинг соответствия фактических значений контрольных показателей уровня риска аутсорсинга определенным кредитной организацией (головной кредитной организацией банковской группы) сигнальным и контрольным значениям.

Для целей управления риском аутсорсинга связанность между третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) определяется на основании критериев, установленных в отношении группы связанных заемщиков частями третьей и четвертой статьи 64 Федерального закона N 86-ФЗ.

Для целей управления риском аутсорсинга группой третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) (группой привлекаемых организаций) признаются третьи лица (внешние подрядчики, контрагенты, участники банковской группы) (привлекаемые организации) в случае наличия связанности между ними.

8(1).7. Кредитная организация (головная кредитная организация банковской группы) в рамках комплекса мероприятий, разрабатываемого в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения, в том числе определяет и соблюдает следующие требования к процедурам организации аутсорсинга критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов:

8(1).7.1. Требования к процедуре инициирования аутсорсинга критически важных процессов и (или) их этапов, включая требования к:

выявлению потребности в аутсорсинге критически важных процессов и (или) их этапов;

анализу целесообразности аутсорсинга критически важных процессов и (или) их этапов.

Для выявления потребности в аутсорсинге критически важных процессов и (или) их этапов кредитная организация (головная кредитная организация банковской группы) применяет в том числе следующие способы:

анализ стратегических планов развития кредитной организации (головной кредитной организации банковской группы);

анализ изменяющихся внутренних и внешних факторов в деятельности кредитной организации (головной кредитной организации банковской группы);

анализ базы событий на предмет выявления недостатков организации критически важных процессов и концентрации операционного риска на их отдельных этапах;

анализ результатов процедур количественной и качественной оценок уровня операционного риска, проводимых в соответствии с подпунктами 2.1.4 и 2.1.5 пункта 2.1 настоящего Положения;

анализ результатов оценки эффективности выполнения процедур управления операционным риском, проводимой в соответствии с пунктом 2.5 настоящего Положения.

Заказчик аутсорсинга проводит анализ целесообразности аутсорсинга критически важных процессов и (или) их этапов, включающий:

анализ ограничений аутсорсинга критически важных процессов и (или) их этапов;

анализ ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от аутсорсинга критически важных процессов и (или) их этапов;

выявление и анализ рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов;

анализ состава третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым могут быть переданы на аутсорсинг критически важные процессы и (или) их этапы.

В рамках анализа ограничений аутсорсинга критически важных процессов и (или) их этапов заказчик аутсорсинга проводит анализ:

требований законодательства Российской Федерации, в том числе нормативных актов Банка России, в области аутсорсинга критически важных процессов и (или) их этапов, в том числе наличия лицензионных требований в отношении выполнения критически важных процессов и (или) их этапов;

возможности выполнения критически важных процессов и (или) их этапов собственными силами кредитной организации (головной кредитной организации банковской группы);

предложения услуг (работ, товаров) на рынке, включая сравнение средней рыночной стоимости аутсорсинга критически важных процессов и (или) их этапов, в том числе первичных и последующих затрат на их выполнение, с размером инвестиций, необходимых для выполнения указанных критически важных процессов и (или) их этапов собственными силами кредитной организации (головной кредитной организации банковской группы).

Заказчик аутсорсинга проводит анализ ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от аутсорсинга критически важных процессов и (или) их этапов, в том числе в виде:

снижения и (или) перераспределения операционных расходов;

обеспечения выполнения критически важных процессов и (или) их этапов в отсутствие необходимых кадровых ресурсов у кредитной организации (головной кредитной организации банковской группы);

высвобождения кадровых ресурсов кредитной организации (головной кредитной организации банковской группы) для целей выполнения иных функций, операций, услуг, процессов и (или) этапов процессов;

повышения эффективности функционирования кредитной организации (головной кредитной организации банковской группы), включая повышение качества выполнения критически важных процессов и (или) их этапов и (или) сокращение сроков реорганизации (реинжиниринга) бизнес-процессов;

возможности применения технологий, ранее не доступных кредитной организации (головной кредитной организации банковской группы), при выполнении критически важных процессов и (или) их этапов;

сокращения сроков выхода на финансовый рынок с предложением финансовых и нефинансовых услуг (работ, товаров);

увеличения объемов и (или) масштаба деятельности;

передачи (или частичной передачи) риска третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы).

В рамках выявления и анализа рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов, заказчик аутсорсинга проводит выявление и анализ в том числе следующих видов риска кредитной организации (головной кредитной организации банковской группы):

стратегического риска;

риска потери деловой репутации;

операционного риска;

странового риска, в том числе связанного с трансграничной передачей данных кредитной организации (головной кредитной организации банковской группы);

риска потерь кредитной организации (головной кредитной организации банковской группы), обусловленного зависимостью выполнения двух и более функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) от одного или группы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

Кредитная организация (головная кредитная организация банковской группы) при проведении анализа целесообразности аутсорсинга ИС в том числе проводит анализ риска информационной безопасности и риска нарушения непрерывности деятельности в части нарушения операционной надежности кредитной организации (головной кредитной организации банковской группы) в условиях зависимости выполнения функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) от привлекаемых организаций.

Кредитная организация (головная кредитная организация банковской группы) в рамках анализа рисков, возникающих при аутсорсинге критически важных процессов и (или) их этапов, проводит их количественную и (или) качественную оценку по шкале качественных оценок, установленной кредитной организацией (головной кредитной организацией банковской группы) в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения.

Результаты проведенного анализа целесообразности аутсорсинга критически важных процессов и (или) их этапов оформляются заказчиком аутсорсинга в виде заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов и при признании аутсорсинга критически важных процессов и (или) их этапов целесообразным направляются на рассмотрение в подразделение, ответственное за организацию аутсорсинга.

8(1).7.2. Требования к оценке заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов, проводимой подразделением, ответственным за организацию аутсорсинга, включая требования к:

выявлению и анализу рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов и указанных в абзацах тридцатом - тридцать четвертом подпункта 8(1).7.1 настоящего пункта;

оценке обоснованности выводов заказчика аутсорсинга, содержащихся в заключении с предложением об аутсорсинге критически важных процессов и (или) их этапов.

В случае оценки заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов, предусматривающего передачу на аутсорсинг критически важных процессов и (или) их этапов третьим лицам, связанным с кредитной организацией (головной кредитной организацией банковской группы), подразделение, ответственное за организацию аутсорсинга, проводит:

анализ рентабельности аутсорсинга критически важных процессов и (или) их этапов;

анализ ожидаемой выгоды кредитной организации (головной кредитной организации банковской группы) от аутсорсинга критически важных процессов и (или) их этапов.

Подразделение, ответственное за организацию аутсорсинга, проводит оценку обоснованности выводов заказчика аутсорсинга, содержащихся в заключении с предложением об аутсорсинге критически важных процессов и (или) их этапов.

Результаты проведенной оценки заключения с предложением об аутсорсинге критически важных процессов и (или) их этапов оформляются подразделением, ответственным за организацию аутсорсинга, в виде заключения о целесообразности аутсорсинга критически важных процессов и (или) их этапов.

8(1).7.3. Требования к процедуре принятия решения об аутсорсинге критически важных процессов и (или) их этапов.

Уполномоченный коллегиальный орган кредитной организации (головной кредитной организации банковской группы) рассматривает в установленные кредитной организацией (головной кредитной организацией банковской группы) сроки заключение с предложением об аутсорсинге критически важных процессов и (или) их этапов, подготовленное заказчиком аутсорсинга, и заключение о целесообразности аутсорсинга критически важных процессов и (или) их этапов, подготовленное подразделением, ответственным за организацию аутсорсинга, и принимает решение об аутсорсинге критически важных процессов и (или) их этапов.

Решение уполномоченного коллегиального органа кредитной организации (головной кредитной организации банковской группы) об аутсорсинге критически важных процессов и (или) их этапов включает в том числе условия аутсорсинга критически важных процессов и (или) их этапов, его стоимость, и состав третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым могут быть переданы на аутсорсинг критически важные процессы и (или) их этапы.

Кредитная организация (головная кредитная организация банковской группы) самостоятельно определяет уполномоченный коллегиальный орган кредитной организации (головной кредитной организации банковской группы), указанный в абзаце втором настоящего подпункта.

8(1).7.4. Требования к передаче критически важных процессов и (или) их этапов на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), включая требования к:

наличию специализации (квалификации) и ресурсного обеспечения (кадрового, технического и технологического) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), достаточных для выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

наличию у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) лицензий и сертификатов, необходимых для выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

выполнению критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов в соответствии с требуемыми кредитной организацией (головной кредитной организацией банковской группы) значениями целевых показателей объема и уровня оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) (далее - целевые показатели оказания услуг);

финансовому положению третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

наличию опыта и деловой репутации третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

вероятности наступления сбоев при выполнении критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) и потенциальных потерь кредитной организации (головной кредитной организации банковской группы), связанных с восстановлением выполнения критически важных процессов и (или) их этапов;

отсутствию экономических, правовых, операционных и иных ограничений, возникающих при передаче критически важных процессов и (или) их этапов на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), на которых распространяется законодательство иностранного государства, включая случаи трансграничной передачи данных кредитной организации (головной кредитной организации банковской группы);

стоимости и условий оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

наличию и (или) отсутствию связанности между работниками кредитной организации (головной кредитной организации банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы).

Для целей управления риском аутсорсинга связанность между работниками кредитной организации (головной кредитной организации банковской группы) и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) определяется на основании критериев, установленных в отношении группы связанных заемщиков частями третьей и четвертой статьи 64 Федерального закона N 86-ФЗ.

Кредитная организация (головная кредитная организация банковской группы) при аутсорсинге ИС дополнительно определяет требования к:

вероятности наступления случаев нарушения операционной надежности и требований к обеспечению защиты информации кредитной организации (головной кредитной организации банковской группы), а также безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов;

соблюдению привлекаемыми организациями требований законодательства Российской Федерации в области обработки информации кредитной организации (головной кредитной организации банковской группы) и ее клиентов, в том числе при трансграничной передаче данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов.

Кредитная организация (головная кредитная организация банковской группы) при передаче критически важных процессов и (или) их этапов на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) проводит анализ наличия зависимости выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов от одного или группы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

Кредитная организация (головная кредитная организация банковской группы) при передаче критически важных процессов и (или) их этапов на аутсорсинг единственному третьему лицу (внешнему подрядчику, контрагенту, участнику банковской группы) устанавливает процедуры выявления и контроля рисков, связанных с передачей критически важных процессов и (или) их этапов на аутсорсинг единственному третьему лицу (внешнему подрядчику, контрагенту, участнику банковской группы).

8(1).7.5. Требования к выполнению критически важных процессов и (или) их этапов, включая требования к:

описанию критически важных процессов и (или) их этапов, передаваемых на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);

обязанностям и ответственности третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), которым передаются на аутсорсинг критически важные процессы и (или) их этапы;

целевым показателям оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), в том числе обеспечивающим соблюдение установленных кредитной организацией (головной кредитной организацией банковской группы) значений контрольных показателей уровня операционного риска;

обеспечению доступа кредитной организации (головной кредитной организации банковской группы) к информации, обеспечивающей выполнение критически важных процессов и (или) их этапов;

обеспечению непрерывности и (или) восстановления критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов, выполняемых третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

процедурам управления операционным риском, в том числе требования к процедурам контроля за выполнением критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

предоставлению третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) информации о событиях операционного риска, оказывающих влияние на выполнение ими критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

представлению третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) отчетов и информации для осуществления кредитной организацией (головной кредитной организацией банковской группы) мониторинга и оценки уровня оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

обеспечению безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов;

условиям передачи данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) и (или) предоставления третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) доступа к таким данным;

условиям изменения выполнения критически важных процессов и (или) их этапов;

прекращению выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов и (или) их этапов в соответствии с требованиями к процедуре прекращения выполнения критически важных процессов и (или) их этапов, предусмотренными подпунктом 8(1).7.7 настоящего пункта;

условиям привлечения иных третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) к выполнению критически важных процессов и (или) их этапов.

Кредитная организация (головная кредитная организация банковской группы) определяет дополнительные требования к выполнению критически важных процессов и (или) их этапов привлекаемыми организациями при аутсорсинге ИС, включая требования к:

описанию (перечню) технологических процессов, технологических участков, передаваемых на аутсорсинг привлекаемым организациям;

обеспечению безопасности (конфиденциальности) данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов при аутсорсинге ИС;

обеспечению операционной надежности и защите информации кредитной организации (головной кредитной организации банковской группы);

трансграничной передаче данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов;

предоставлению привлекаемыми организациями информации, направленные на выполнение обязательств кредитной организации (головной кредитной организации банковской группы) перед Банком России и исполнительными органами государственной власти в рамках выполнения надзорных (контрольных) мероприятий.

8(1).7.6. Требования к процедуре мониторинга качества выполнения критически важных процессов и (или) их этапов, переданных на аутсорсинг, и текущих рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов.

Кредитная организация (головная кредитная организация банковской группы) определяет обязанности заказчика аутсорсинга и подразделения, ответственного за организацию аутсорсинга, в рамках осуществления процедуры мониторинга качества выполнения критически важных процессов и (или) их этапов, переданных на аутсорсинг, и текущих рисков, связанных с аутсорсингом критически важных процессов и (или) их этапов, включая следующее:

мониторинг соблюдения целевых показателей оказания услуг третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

анализ отчетности и информации, предоставляемой третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

регулярный (не реже одного раза в год) анализ целесообразности аутсорсинга критически важных процессов и (или) их этапов, включая анализ изменений предложения услуг (работ, товаров) на рынке, в том числе сравнительный анализ предложений других третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и технологий, применяемых ими при выполнении критически важных процессов и (или) их этапов.

Кредитная организация (головная кредитная организация банковской группы) в рамках осуществления процедуры мониторинга качества выполнения критически важных процессов и (или) их этапов, переданных на аутсорсинг, реализует:

процедуры контроля за выполнением третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов и (или) их этапов;

процедуры контроля за выполнением третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) требований к выполнению критически важных процессов и (или) их этапов;

процедуры контроля за соблюдением третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) требований к процедурам управления операционным риском, установленных в соответствии с подпунктом 8(1).7.5 настоящего пункта.

По результатам мониторинга подразделение, ответственное за организацию аутсорсинга, формирует отчет о качестве выполнения критически важных процессов и (или) их этапов, переданных на аутсорсинг, и направляет его на рассмотрение уполномоченному коллегиальному органу кредитной организации (головной кредитной организации банковской группы) не реже одного раза в год.

Уполномоченный коллегиальный орган кредитной организации (головной кредитной организации банковской группы) по результатам рассмотрения отчета о качестве выполнения критически важных процессов и (или) их этапов, переданных на аутсорсинг, принимает (принимают) одно из следующих решений:

о продолжении выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов и (или) их этапов без внесения изменений;

о пересмотре требований к выполнению третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов и (или) их этапов;

о прекращении выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов и (или) их этапов.

Кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность проведения мероприятий, указанных в абзацах третьем - пятом и седьмом - девятом настоящего подпункта (не реже одного раза в год).

8(1).7.7. Требования к процедуре прекращения выполнения критически важных процессов и (или) их этапов третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), включая требования к:

передаче данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов, накопленных в процессе выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

прекращению доступа третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) к данным кредитной организации (головной кредитной организации банковской группы) и ее клиентов, к которым третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) был предоставлен доступ в процессе выполнения критически важных процессов и (или) их этапов;

уничтожению данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) под контролем представителей кредитной организации (головной кредитной организации банковской группы);

составлению акта о прекращении выполнения критически важных процессов и (или) их этапов, в том числе осуществлению взаиморасчета и подтверждению отсутствия задолженности между сторонами.

Кредитная организация (головная кредитная организация банковской группы) определяет дополнительные требования к процедуре выполнения критически важных процессов и (или) их этапов привлекаемыми организациями при аутсорсинге ИС с учетом планов, предусмотренных абзацами седьмым и восьмым пункта 8(1).8 настоящего Положения, включая требования к:

прекращению эксплуатации и (или) возврату информационных систем привлекаемых организаций;

прекращению доступа к данным и информационным системам кредитной организации (головной кредитной организации банковской группы), к которым привлекаемым организациям был предоставлен доступ в процессе выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

передаче и (или) уничтожению данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов на аппаратных средствах, носителях и (или) в информационных системах привлекаемых организаций под контролем представителей кредитной организации (головной кредитной организации банковской группы).

8(1).8. В дополнение к процедурам организации аутсорсинга, указанным в пункте 8(1).7 настоящего Положения, кредитная организация (головная кредитная организация банковской группы) определяет комплекс мероприятий, направленных на обеспечение соответствия фактических значений контрольных показателей уровня риска аутсорсинга значениям, определенным кредитной организацией (головной кредитной организацией банковской группы) в соответствии с пунктом 8(1).9 настоящего Положения, который включает:

установление штрафов за нарушение требований к выполнению критически важных процессов и (или) их этапов;

разработку стратегии прекращения выполнения третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) критически важных процессов и (или) их этапов, в соответствии с которой в случае невозможности выполнения критически важных процессов и (или) их этапов третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) в соответствии с требованиями к выполнению критически важных процессов и (или) их этапов, данные критически важные процессы и (или) их этапы выполняются кредитной организацией (головной кредитной организацией банковской группы) либо другими третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) в соответствии с требованиями к выполнению критически важных процессов и (или) их этапов;

анализ способов обеспечения непрерывности выполнения критически важных процессов и (или) их этапов, переданных на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), применяемых третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), в целях соблюдения требований в соответствии с абзацем восемнадцатым подпункта 8(1).7.5 пункта 8(1).7 настоящего Положения;

пересмотр требований к выполнению критически важных процессов и (или) их этапов, в том числе оценка целесообразности продолжения выполнения критически важных процессов и (или) их этапов третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы) или передачи критически важных процессов и (или) их этапов на аутсорсинг другим третьим лицам (внешним подрядчикам, контрагентам, участникам банковской групп), в том числе по результатам мониторинга качества выполнения критически важных процессов и (или) их этапов, переданных на аутсорсинг, выполняемого в соответствии с подпунктом 8(1).7.6 пункта 8(1).7 настоящего Положения.

Кредитная организация (головная кредитная организация банковской группы) в целях обеспечения соответствия фактических значений целевых показателей операционной надежности, указанных в пункте 3 Положения Банка России N 787-П, значениям, определенным кредитной организацией (головной кредитной организацией банковской группы) в соответствии с пунктом 8(1).9 настоящего Положения, при аутсорсинге ИС выполняет:

разработку планов мероприятий, направленных на прекращение выполнения критически важных процессов и (или) их этапов привлекаемыми организациями, в случае превышения предельного уровня зависимости выполнения критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов от одной или группы привлекаемых организаций;

разработку планов мероприятий, направленных на прекращение выполнения критически важных процессов и (или) их этапов привлекаемыми организациями, в рамках которого осуществляется трансграничная передача данных кредитной организации (головной кредитной организации банковской группы) и ее клиентов.

Кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность пересмотра комплекса мероприятий, указанных в абзацах втором - пятом, седьмом и восьмом настоящего пункта (не реже одного раза в год).

8(1).9. В целях контроля за уровнем риска аутсорсинга кредитная организация (головная кредитная организация банковской группы) определяет на плановый годовой период контрольные показатели уровня риска аутсорсинга, а также устанавливает сигнальные и контрольные значения этих показателей в порядке, установленном главой 5 настоящего Положения.

Кредитная организация (головная кредитная организация банковской группы) в целях контроля за уровнем риска аутсорсинга ИС применяет контрольные показатели уровня риска информационной безопасности, предусмотренные абзацами двадцать вторым - двадцать четвертым подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению, а также целевые показатели операционной надежности, предусмотренные абзацами вторым - пятым пункта 3 Положения Банка России N 787-П.

8(1).10. Кредитная организация (головная кредитная организация банковской группы) определяет следующие функции, выполняемые подразделением, ответственным за организацию аутсорсинга:

8(1).10.1. В целях организации аутсорсинга:

разработку требований к процедурам организации аутсорсинга критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

контроль соблюдения работниками кредитной организации (головной кредитной организации банковской группы) требований к процедурам организации аутсорсинга критически важных процессов кредитной организации (головной кредитной организации банковской группы) и (или) их этапов;

планирование, разработку, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга;

составление отчетов об организации аутсорсинга и направление их на рассмотрение уполномоченному коллегиальному органу кредитной организации (головной кредитной организации банковской группы);

осуществление других функций, связанных с организацией аутсорсинга.

8(1).10.2. В целях управления риском аутсорсинга:

соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации риска аутсорсинга, сбора и регистрации информации о внутренних событиях риска аутсорсинга и потерях от его реализации, мониторинга риска аутсорсинга, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска, и третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);

участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга;

составление отчетов по событиям риска аутсорсинга и направление их в службу управления рисками;

осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска аутсорсинга;

участие в разработке процедур управления риском аутсорсинга;

консультирование работников кредитной организации (головной кредитной организации банковской группы) по вопросам, связанным с управлением риском аутсорсинга;

осуществление других функций, связанных с управлением риском аутсорсинга.

8(1).11. Кредитная организация (головная кредитная организация банковской группы) обеспечивает контроль за соблюдением требований к процедурам управления риском аутсорсинга.

8(1).12. Подразделение, ответственное за организацию аутсорсинга, в дополнение к отчетам, формируемым подразделением, ответственным за организацию управления операционным риском, в соответствии с пунктом 4.2 настоящего Положения, формирует отчеты по риску аутсорсинга.

Кредитная организация (головная кредитная организация банковской группы) устанавливает порядок и сроки направления на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) отчетов, формируемых подразделением, ответственным за организацию аутсорсинга.

8(1).13. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных настоящей главой, в рамках оценки эффективности системы управления операционным риском.