Проект методических рекомендаций по обеспечению непрерывности деятельности некредитных финансовых организаций (далее - Проект), как отмечается в пояснительной записке, разработан с целью доведения до сведения всех некредитных финансовых организаций общего подхода по обеспечению ими непрерывности деятельности. Действие методических рекомендаций будет распространяться на некредитные финансовые организации, признанные таковыми в соответствии со статьей 76.1 Федерального закона от 10.07.2002 № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", (далее, соответственно, - финансовые организации, Закон № 86-ФЗ). Напомним, что к числу данных организаций указанной статьей Закона № 86-ФЗ отнесены, в частности, лица, осуществляющие деятельность профессиональных участников рынка ценных бумаг, клиринговую деятельность, деятельность организатора торговли, микрофинансовых организаций.
Как отмечают разработчики Проекта, при определении объема (характера) распространения на участников рынка рекомендаций предусмотрен дифференцированный подход, в соответствии с которым участники финансового рынка разделены на три условные группы, в зависимости от вида осуществляемой деятельности и ее масштабов: небольшие (I), средние (II) и крупные (III, т.е. значимые финансовые организации).
К числу организаций первой группы Проектом отнесены, например, клиентский брокер; брокер, осуществляющий деятельность только по заключению договоров, являющихся производными финансовыми инструментами, базисным активом которых является товар; брокер и (или) доверительный управляющий, имеющий менее 100 клиентов; брокер, объем операций на рынке ценных бумаг, совершенных по поручениям клиентов, которого за один из последних четырех кварталов не превышает 100 млрд. рублей.
Организациям первой группы, Проект адресует общие рекомендации, в том числе в отношении определения критически важных процессов, перечня возможных чрезвычайных ситуаций, обеспечения непрерывности функционирования информационных систем. В частности, для обеспечения непрерывности деятельности руководству финансовой организации рекомендуется распределить ответственность и полномочия между сотрудниками финансовой организации на случай возникновения чрезвычайной ситуации.
Для организаций, которые не соответствуют критериям отнесения их к первой группе или к третьей группе финансовых организаций, предусмотрены, помимо общих положений, дополнительные рекомендации в отношении процедур, документов и органов управления.
В частности, рекомендуется установить плановое (целевое) время возобновления деятельности и восстановления критически важных процессов (RTO) на основе максимально приемлемого периода нарушения деятельности организации; иметь утвержденный советом директоров (наблюдательным советом), а в случае его отсутствия единоличным исполнительным органом (далее - уполномоченный орган управления) финансовой организации, план обеспечения непрерывности деятельности и (или) восстановления ее деятельности в случае возникновения чрезвычайных ситуаций (далее – План непрерывности деятельности). Проект предусматривает рекомендации, касающиеся содержания Плана непрерывности деятельности, периодичности его пересмотра. Даются рекомендации в отношении обеспечения непрерывности функционирования информационных систем финансовой организации, в том числе рекомендуется осуществлять ежедневное резервное копирование информации и баз данных, обслуживающих критически важные процессы. Также финансовой организации рекомендуется предусмотреть во внутренних документах составление и представление уполномоченному органу управления не реже одного раза в год отчета о непрерывности деятельности финансовой организации.
Для значимых финансовых организаций, к числу которых отнесены, например, организаторы торговли, являющиеся биржами, предусматриваются также дополнительные рекомендации. В частности, данным организациям рекомендуется тестировать План непрерывности деятельности не реже одного раза в шесть месяцев с моделированием потенциальных чрезвычайных ситуаций и привлечением ее сотрудников; в рамках организации системы управления рисками разработать внутренние документы, содержащие методики оценки типичных рисков организации, а также политику управления рисками, включающую профиль риска данной организации. В числе рекомендаций для финансовых организаций, относящихся к указанной группе, - наличие резервного офиса, который функционально мог бы дублировать работу основного офиса в части осуществления критически важных процессов и обеспечивать непрерывность деятельности путем оперативного переключения управления на него в случае невозможности осуществления критически важных процессов в основном офисе. В числе рекомендаций, касающихся условий организации функционирования вышеупомянутых офисов, отметим рекомендацию использовать не менее двух поставщиков телекоммуникационных услуг для основного и резервного офисов.