6.3.8.3. Размер операционного риска, полученный согласно каждому из способов, может быть различным исходя из особенностей учета (РСБУ, МСФО, внутренней управленческой отчетности).

6.3.8.4. Расчет размера операционного риска в рамках п. 6.3.8.1(а) осуществляется подразделениями банка, ответственными за учет банка по РСБУ, МСФО. Расчет размера операционного риска в рамках пп. 6.3.8.1(b-d) осуществляется подразделением по операционным рискам.

6.3.8.5. Расчет размера операционного риска регламентируется нормативными документами банка.

6.3.8.6. Расчет риска продвинутым способом в обязательном порядке должен основываться на анализе следующих данных (помимо анализа исторических данных об инцидентах):

1. Данных самооценки рисков (согласно п. 6.3.1).

2. Данных мониторинга ключевых индикаторов рисков (согласно п. 6.3.2).

3. Данных сценарного анализа рисков и стресс-тестирования (согласно п. 6.3.5).

4. Данных о внешних потерях от операционных рисков (согласно п. 6.3.6).

6.3.9. Эскалация рисков, идентифицированных аналитическим мониторингом.

6.3.9.1. При обнаружении рисков в рамках аналитического мониторинга риск-менеджер или риск-координатор инициирует работу с ними в рамках процедур п. 6.2.

6.4. Компонент № 4. Обеспечение непрерывности деятельности

Обеспечение непрерывности и возобновления деятельности (далее – ОНиВД) осуществляется в соответствии с Приложением 5 к Положению № 242-П для определения целей, задач, порядка, способов и сроков осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования банка и его подразделений, вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств).

6.4.1. Обеспечение непрерывности деятельности регламентируется двумя группами нормативных документов:

• планами непрерывности деятельности критичных процессов (BCP[38]);

• памятками действий сотрудников при чрезвычайных ситуациях;

• дополнительными документами, при недостаточности упомянутых выше, например, DRP[39].

6.4.2. Планы непрерывности деятельности банка.

План ОНиВД представляет собой совокупность модулей, каждый из которых описывает действия подразделений банка по одному критичному процессу, функции или обстоятельству. Бланк плана состоит из следующих основных частей:

Часть I. О непрерывности деятельности исполнителей процесса

• описание критически важной функции исполнителей;

• действия при выбытии исполнителей;

• действия при сбое программных и технических ресурсов;

• действия при выбытии помещений, используемых исполнителями;

• действия при наступлении иных чрезвычайных обстоятельств.

Часть II. О непрерывности деятельности серверного программного обеспечения (ПО), используемого в процессе

• описание ПО, расположенного на серверах, описание серверов и каналов связи, используемых в критически важной функции, SLA (соглашение об уровне обслуживания серверов и информационных систем на серверах);

• действия при сбое ПО, расположенного на серверах, серверов и каналов связи;

• действия при выбытии помещений, в которых расположены серверные программы;

• действия при выбытии исполнителей, обеспечивающих функционирование серверных программ, серверов и каналов связи;

• действия при наступлении иных чрезвычайных обстоятельств, связанных с серверами и приведших к нарушению критически важной функции.

6.4.3. Бланк плана представлен в Приложении 7. Он заполняется риск-координаторами тех департаментов, чьи процессы признаются для банка значимыми (в части I п. 6.4.2) и риск-координатором ИТ-подразделения (в части II п. 6.4.2). Список значимых процессов обозначен в Приложении 8. Принципиальный подход разработки, согласования, утверждения, пересмотра и проверки (тестирования) плана ОНиВД представлен на схеме 5.

6.4.4. Памятки действий сотрудников при чрезвычайных ситуациях готовятся риск-координаторами, ответственными за работу с тем или иным видом чрезвычайной ситуации (ЧС). При необходимости памятки о различных ЧС могут объединяться.

6.4.5. Банк стремится обеспечивать непрерывность своей деятельности с минимальными издержками – резервные рабочие места по возможности должны размещаться на рабочих местах и компьютерах, используемых другими сотрудниками некритичных функций.

6.4.6. Правила и особенности деятельности по обеспечению непрерывности деятельности банка регламентируются нормативными документами банка.

6.5. Компонент № 5. Координация работы департаментов в управлении рисками