Положение о требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков

Законы и акты

Положение о требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков

ПОЛОЖЕНИЕ О

ТРЕБОВАНИЯХ

К ПОРЯДКУ

ОБЕСПЕЧЕНИЯ

БЕСПЕРЕБОЙНОСТИ

ФУНКЦИОНИРОВАНИЯ

ПЛАТЕЖНОЙ СИСТЕМЫ,

ПОКАЗАТЕЛЯМ

БЕСПЕРЕБОЙНОСТИ

ФУНКЦИОНИРОВАНИЯ

ПЛАТЕЖНОЙ СИСТЕМЫ

И МЕТОДИКАМ

АНАЛИЗА РИСКОВ В

ПЛАТЕЖНОЙ СИСТЕМЕ,

ВКЛЮЧАЯ ПРОФИЛИ

РИСКОВ

Настоящее Положение на основании пунктов 4 – 6 части 3 статьи 28 Закона «О национальной платежной системе» «О национальной платежной системе» устанавливает требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков.

Глава 1. Общие положения.

1.1. Требования настоящего Положения применяются к оператору платежной системы при обеспечении бесперебойности функционирования платежной системы (далее – БФПС), которая достигается при условии оказания участникам платежной системы услуг платежной инфраструктуры (далее – УПИ) согласно требованиям Закона «О национальной платежной системе» и принятых в соответствии с ним нормативных актов Государственного банка, а также положениям правил платежной системы, договоров об оказании УПИ, документов оператора платежной системы и привлеченных им операторов УПИ (далее при совместном упоминании – требования к оказанию услуг) и (или) восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановления оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.

1.2. Оператор платежной системы должен обеспечивать БФПС путем осуществления скоординированной с операторами УПИ и участниками платежной системы деятельности:

a)по организации системы управления рисками в платежной системе, оценке и управлению рисками в платежной системе (далее при совместном упоминании – управление рисками в платежной системе);

b)по выявлению оказания УПИ, не соответствующего требованиям к оказанию услуг, обеспечению функционирования платежной системы в случае нарушения оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы (далее при совместном упоминании – управление непрерывностью функционирования платежной системы).

1.3. Порядок обеспечения БФПС должен определяться в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.

1.4. Требования настоящего Положения не распространяются на Государственный банк при осуществлении им функций расчетного центра в платежных системах на основании заключенных договоров.

Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС.

2.1. Оператор платежной системы должен определять и соблюдать порядок обеспечения БФПС, который включает:

a)управление рисками в платежной системе;

b)управление непрерывностью функционирования платежной системы;

c)организацию взаимодействия оператора платежной системы, операторов УПИ и участников платежной системы (далее при совместном упоминании – субъекты платежной системы) по обеспечению БФПС;

d)контроль за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.

2.2. Оператор платежной системы должен управлять рисками в платежной системе с учетом следующих требований:

2.2.1. Оператор платежной системы должен организовать систему управления рисками в платежной системе с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Закона «О национальной платежной системе».

2.2.2. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.

2.2.3. Оператор платежной системы должен определять способы управления рисками в платежной системе, исходя из способов управления рисками, предусмотренных частью 5 статьи 28 Закона «О национальной платежной системе» (далее – способы управления рисками в платежной системе).

2.2.4. Оператор платежной системы должен определять в соответствии с требованиями, предусмотренными в приложении 1 к настоящему Положению, следующие показатели БФПС:

a)показатель продолжительности восстановления оказания УПИ (далее – показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Государственным банком на основании части 3 статьи 27 Закона «О национальной платежной системе»;

b)показатель непрерывности оказания УПИ (далее – показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению оказания УПИ, соответствующего требованиям к оказанию услуг, в том числе вследствие нарушений требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее – инциденты), в результате которых приостанавливалось оказание УПИ. Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Закона «О национальной платежной системе», не рассматривается в целях настоящего Положения в качестве инцидентов;

c)показатель соблюдения регламента (далее – показатель П3), характеризующий соблюдение операторами УПИ времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами УПИ при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Закона «О национальной платежной системе» (далее – регламент выполнения процедур);

d)показатель доступности операционного центра платежной системы (далее – показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;

e)показатель изменения частоты инцидентов (далее – показатель П5), характеризующий темп прироста частоты инцидентов.

При определении иных показателей БФПС дополнительно к указанным данные показатели БФПС должны быть определены в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.

2.2.4(1). Оператор платежной системы должен проводить плановую оценку рисков в платежной системе, а также внеплановые оценки рисков в платежной системе с использованием методик анализа рисков в платежной системе и составлением профилей рисков.

2.2.4(2). Оператор платежной системы должен проводить внеплановую оценку всех рисков в платежной системе при внесении изменений в один или несколько процессов, в рамках которых обеспечивается оказание УПИ (далее – бизнес–процесс), или в несколько бизнес–процессов. Проведение внеплановой оценки всех рисков в платежной системе должно быть завершено не позднее истечения шести месяцев со дня внесения указанных изменений.

2.2.4(3). Оператор платежной системы должен проводить внеплановую оценку отдельных рисков (отдельного риска) в платежной системе:

a)при возникновении события, реализация которого привела к приостановлению (прекращению) оказания УПИ и описание которого в профиле риска не предусмотрено, либо негативные последствия от его реализации превышают негативные последствия, предусмотренные для этого события в профиле риска;

b)при установлении по результатам проводимого оператором платежной системы мониторинга рисков факта приближения фактического уровня риска к уровню допустимого риска, при котором восстановление оказания УПИ, соответствующих требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе;

c)при выявлении значимого риска в платежной системе, для которого уровень присущего риска до применения способов управления рисками в платежной системе может превысить или превысил уровень допустимого риска.

Проведение внеплановой оценки отдельных рисков (отдельного риска) в платежной системе должно быть завершено не позднее истечения четырех месяцев со дня возникновения событий, предусмотренных абзацами вторым и третьим настоящего подпункта, либо со дня выявления значимого риска в платежной системе, указанного в абзаце четвертом настоящего подпункта.

2.2.4(4). Плановая оценка всех рисков в платежной системе проводится оператором платежной системы не реже одного раза в три года с учетом сведений о событиях, которые произошли в платежной системе со дня завершения предыдущей плановой или внеплановой оценки всех рисков в платежной системе и привели к приостановлению (прекращению) оказания УПИ.

2.2.5. Оператор платежной системы должен устанавливать и пересматривать с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС.

Оператор платежной системы должен устанавливать пороговые уровни показателей БФПС с учетом следующих ограничений:

a)пороговый уровень показателя П1 должен быть не более 2 часов для каждого из операторов УПИ системно и социально значимых платежных систем и не более 6 часов для каждого из операторов УПИ платежных систем, не являющихся системно или социально значимыми;

b)пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов УПИ системно значимой платежной системы и не менее 12 часов для каждого из операторов УПИ социально значимой платежной системы;

c)пороговый уровень показателя П3 должен быть не менее 98,0% для операционного и платежного клирингового центров платежной системы и не менее 99,0% для расчетного центра платежной системы. Для платежных систем, в которых расчетный центр платежной системы одновременно предоставляет услуги операционного и (или) платежного клирингового центра, пороговый уровень показателя П3 должен быть не менее 98,0%;

d)пороговый уровень показателя П4 должен быть не менее 99,0% для системно значимой платежной системы, не менее 98,0% для социально значимой платежной системы и не менее 96,0% для платежных систем, не являющихся системно или социально значимыми.

2.2.6. Оператор платежной системы должен рассчитывать и анализировать значения показателей БФПС, в том числе путем их сравнения с пороговыми уровнями показателей БФПС, и использовать результаты указанного анализа при оценке системы управления рисками в платежной системе и при оценке влияния инцидентов на БФПС.

2.2.7. Оператор платежной системы должен проводить оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков в платежной системе, результатов применения способов управления рисками в платежной системе, не реже одного раза в три года и документально оформлять результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе должна проводиться данным органом.

2.2.8. Оператор платежной системы должен вносить изменения в систему управления рисками в платежной системе, в случае если действующая система управления рисками в платежной системе не обеспечила три и более раза в течение календарного года возможность восстановления оказания УПИ в течение периодов времени, установленных оператором платежной системы в правилах платежной системы, при их приостановлении.

2.2.9. Оператор платежной системы должен при управлении рисками в платежной системе оценивать риски, возникающие в связи с привлечением поставщиков (провайдеров), предоставляющих услуги в сфере информационных технологий в целях оказания оператором УПИ услуг платежной инфраструктуры и (или) предоставляющих услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг, предусмотренные пунктом 33 статьи 3 Закона «О национальной платежной системе» (далее – поставщики услуг), в том числе обусловленные вероятностью невыполнения поставщиками услуг своих обязательств, включая возникновение отказов и (или) нарушений функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования поставщиков услуг.

2.3. Оператор платежной системы должен управлять непрерывностью функционирования платежной системы с учетом следующих требований:

2.3.1. Оператор платежной системы должен организовать деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления прав и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Закона «О национальной платежной системе».

2.3.2. Оператор платежной системы должен организовать сбор и обработку сведений, в том числе от привлеченных операторов УПИ, используемых для расчета показателей БФПС, указанных в подпункте 2.2.4 пункта 2.2 настоящего Положения (далее – сведения по платежной системе), а также следующих сведений об инцидентах:

a)время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);

b)краткое описание инцидента (характеристика произошедшего события и его последствия);

c)наименование одного или нескольких бизнес–процессов, в ходе которых произошел инцидент;

d)наименование одного или нескольких бизнес–процессов, на которые инцидент оказал влияние;

e)наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;

f)влияние инцидента на БФПС, определяемое с учетом требований, предусмотренных подпунктом 2.3.5 пункта 2.3 настоящего Положения;

g)степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов УПИ, и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, и иных факторов;

h)время и дата восстановления оказания УПИ в случае приостановления их оказания;

i)мероприятия по устранению неблагоприятных последствий инцидента с указанием планируемой и фактической продолжительности проведения данных мероприятий;

j)дата восстановления оказания УПИ, соответствующего требованиям к оказанию услуг;

k)неблагоприятные последствия инцидента по субъектам платежной системы, в том числе:

l)сумма денежных средств, уплаченных оператором платежной системы и (или) взысканных с оператора платежной системы,

m)сумма денежных средств, уплаченных оператором (операторами) УПИ и (или) взысканных с оператора (операторов) УПИ,

n)количество и сумма неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, на исполнение которых оказал влияние инцидент,

o)продолжительность приостановления оказания УПИ.

2.3.3. Оператор платежной системы должен обеспечить хранение сведений по платежной системе и сведений об инцидентах не менее пяти лет с даты получения указанных сведений.

2.3.4. Оператор платежной системы должен организовать деятельность по разработке регламентов выполнения процедур и контролировать их соблюдение.

2.3.5. Оператор платежной системы должен проводить оценку влияния на БФПС каждого произошедшего в платежной системе инцидента в срок не позднее окончания рабочего дня, следующего за днем возникновения (выявления) инцидента, а также в срок не позднее окончания рабочего дня, следующего за днем устранения последствий инцидента (восстановления оказания УПИ, соответствующих требованиям к оказанию услуг).

В случае если вследствие произошедшего в платежной системе инцидента нарушен регламент выполнения процедур, но при этом не нарушен пороговый уровень каждого из показателей П1, П2, данный инцидент признается непосредственно не влияющим на БФПС.

Произошедший в платежной системе инцидент признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:

a)нарушен регламент выполнения процедур при одновременном нарушении порогового уровня показателя П2;

b)нарушен пороговый уровень показателя П1;

c)превышена продолжительность установленного оператором платежной системы времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг.

В случае выявления дополнительных обстоятельств инцидента, оценка влияния которого на БФПС уже завершена, проводится повторная оценка произошедшего инцидента с учетом вновь выявленных обстоятельств.

2.3.6. Оператор платежной системы должен проводить оценку влияния на БФПС всех инцидентов, произошедших в платежной системе в течение календарного месяца. Оценка влияния на БФПС данных инцидентов должна проводиться в течение пяти рабочих дней после дня окончания календарного месяца, в котором возникли инциденты.

В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов не нарушен пороговый уровень показателя П4, рассчитанного по данным инцидентам, и одновременно нарушен пороговый уровень показателя П3 и (или) показателя П5, рассчитанных по этим же инцидентам, данные инциденты признаются непосредственно не влияющими на БФПС.

В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов одновременно нарушены пороговые уровни всех показателей П3, П4, П5, рассчитанных по данным инцидентам, данные инциденты признаются влияющими на БФПС.

В случае выявления инцидентов или дополнительных обстоятельств инцидентов, произошедших в платежной системе в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, оператор платежной системы должен проводить повторную оценку влияния на БФПС этих инцидентов с учетом вновь выявленных обстоятельств в течение пяти рабочих дней после дня окончания календарного месяца, в котором выявлены инциденты или дополнительные обстоятельства.

2.3.7. Оператор платежной системы должен определить в правилах платежной системы:

a)критерии отнесения событий, реализовавшихся при оказании УПИ в платежной системе, к событиям приостановления оказания УПИ, за исключением событий, следствием которых является приостановление оказания УПИ в связи с проведением технологических и (или) регламентных работ, в случае если оператор УПИ заранее уведомил об этом оператора платежной системы и участников платежной системы в соответствии с правилами платежной системы и (или) иными документами оператора платежной системы и (или) привлеченных операторов УПИ;

b)период времени, в течение которого должно быть восстановлено оказание УПИ в случае приостановления их оказания;

c)период времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг, в случае нарушения указанных требований.

2.3.8. Оператор платежной системы должен обеспечить оказание УПИ при возникновении инцидентов, а также организовать в течение установленных периодов времени восстановление оказания услуг операторами УПИ в случае приостановления их оказания и восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, в случае нарушения указанных требований.

Оператор системно значимой платежной системы при возникновении инцидента должен обеспечить в день его возникновения осуществление расчета в платежной системе до конца дня по распоряжениям участников платежной системы об осуществлении перевода денежных средств (далее – распоряжение участника платежной системы), поступившим в расчетный центр платежной системы и подлежащим исполнению в этот день в соответствии с законодательством, и (или) правилами платежной системы, и (или) договорами банковского счета, заключенными участниками платежной системы с расчетным центром платежной системы.

2.3.9. Оператор платежной системы должен установить уровни оказания УПИ, характеризующие качество функционирования операционных и технологических средств платежной инфраструктуры, которые должны быть обеспечены операторами УПИ.

2.3.10. Оператор платежной системы должен разрабатывать, проверять (тестировать) и пересматривать план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее – план ОНиВД) оператора платежной системы, с периодичностью не реже одного раза в два года.

2.3.11. Оператор платежной системы должен разрабатывать и включать в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания УПИ или нарушением установленных уровней оказания УПИ, в том числе:

a)при совмещении в платежной системе функций оператора платежной системы и операционного, и (или) платежного клирингового, и (или) расчетного центров – мероприятия по переходу на резервный комплекс программных и (или) технических средств, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ;

b)при наличии в платежной системе двух и более операционных, и (или) платежных клиринговых, и (или) расчетных центров – мероприятия по обеспечению взаимозаменяемости операторов УПИ;

c)при наличии в платежной системе одного привлеченного операционного, и (или) платежного клирингового, и (или) расчетного центров – мероприятия по привлечению другого оператора УПИ и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору УПИ в течение срока, установленного правилами платежной системы, в случаях:

d)превышения оператором УПИ времени восстановления оказания УПИ при приостановлении их оказания более двух раз в течение трех месяцев подряд;

e)нарушения правил платежной системы, выразившегося в отказе оператора УПИ в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.

2.3.12. Оператор платежной системы должен обеспечить реализацию мероприятий, предусмотренных подпунктом 2.3.11 настоящего пункта.

2.3.13. Оператор платежной системы должен организовать разработку и контролировать наличие планов ОНиВД у операторов УПИ, проведение ими проверки (тестирования) и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.

Операторы УПИ должны включать в планы ОНиВД мероприятия по переходу на резервный комплекс программных и (или) технических средств оператора УПИ в случае приостановления оказания УПИ и (или) нарушения установленных уровней оказания УПИ, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ.

2.3.14. В случае если оператор платежной системы и (или) оператор УПИ являются финансовыми организациями, разработка, проверка (тестирование) и пересмотр плана ОНиВД должны осуществляться в порядке, предусмотренном Положением «Об организации внутреннего контроля в финансовых организациях и банковских группах», с учетом требований к плану ОНиВД, содержащихся в подпунктах 2.3.10 и 2.3.11 настоящего пункта.

2.3.15. Оператор платежной системы должен анализировать эффективность мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, и использовать полученные результаты при управлении рисками в платежной системе.

2.4. Оператор платежной системы должен передать часть функций или все функции по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения, операторам УПИ и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Закона «О национальной платежной системе», или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Закона «О национальной платежной системе».

2.5. Оператор платежной системы должен организовать взаимодействие субъектов платежной системы по обеспечению БФПС с учетом следующих требований:

2.5.1. Оператор платежной системы должен определить в правилах платежной системы с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Закона «О национальной платежной системе», порядок взаимодействия субъектов платежной системы при реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения.

2.5.2. Оператор платежной системы должен определить функции, выполняемые операторами УПИ по оперативному информированию оператора платежной системы о нарушении оказания УПИ, соответствующего требованиям к оказанию услуг, при котором превышено время восстановления оказания УПИ в случае их приостановления и (или) время восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, а также по оперативному информированию расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Закона «О национальной платежной системе».

2.5.3. Оператор платежной системы должен информировать о случаях и причинах приостановления (прекращения) оказания УПИ:

a)Государственный банк и участников платежной системы в порядке, установленном Указанием «О порядке информирования оператором платежной системы Государственного банка, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры»;

b)операторов УПИ в порядке, аналогичном установленному Указанием «О порядке информирования оператором платежной системы Государственного банка, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры» для участников платежной системы.

2.6. Оператор платежной системы в рамках осуществления контроля за соблюдением правил платежной системы должен проверять соблюдение операторами УПИ и участниками платежной системы порядка обеспечения БФПС с учетом следующих требований:

2.6.1. Оператор платежной системы должен определить в правилах платежной системы порядок проведения контроля за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.

2.6.2. Оператор платежной системы должен контролировать соответствие документов операторов УПИ порядку обеспечения БФПС, если такие документы предусмотрены правилами платежной системы, и при выявлении несоответствия документов операторов УПИ порядку обеспечения БФПС должен направлять рекомендации операторам УПИ по устранению выявленных несоответствий.

2.6.3. Оператор платежной системы при выявлении нарушения порядка обеспечения БФПС операторами УПИ и участниками платежной системы должен:

a)информировать операторов УПИ и участников платежной системы о выявленных в их деятельности нарушениях и устанавливать сроки устранения нарушений;

b)осуществлять проверку результатов устранения нарушений и информировать операторов УПИ и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.

2.6.4. Оператор платежной системы должен определять ответственность операторов УПИ и участников платежной системы за неисполнение порядка обеспечения БФПС.

Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков.

3.1. Оператор платежной системы в целях управления рисками в платежной системе должен разрабатывать методики анализа рисков в платежной системе, включая риск нарушения БФПС.

3.2. Методики анализа рисков в платежной системе должны обеспечивать:

a)выполнение процедур выявления оператором платежной системы рисков в платежной системе не реже одного раза в год;

b)проведение анализа рисков в платежной системе;

c)выявление событий, реализация которых может привести к возникновению инцидента (далее – риск–события), и определение для каждого из выявленных риск–событий уровня риска, характеризуемого вероятностью наступления риск–событий и величиной возможных последствий их реализации;

d)определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе, а также уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;

e)определение значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;

f)определение для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, уровня остаточного риска после применения способов управления рисками в платежной системе.

3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:

a)формирование и поддержание в актуальном состоянии перечней бизнес–процессов;

b)разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск–событий, причин риск–событий;

c)проведение анализа бизнес–процессов в платежной системе, в том числе анализа программных и (или) технических средств операторов УПИ, учитывая факт привлечения ими поставщиков услуг, и других факторов, влияющих на БФПС;

d)формирование перечня возможных риск–событий для каждого бизнес–процесса с указанием причин риск–событий и их последствий;

e)определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе и установление уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;

f)сопоставление уровня присущего риска до применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, по каждому из выявленных рисков в платежной системе для определения значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;

g)применение способов управления рисками в платежной системе для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и последующее определение для них уровня остаточного риска после применения способов управления рисками в платежной системе;

h)сопоставление уровня остаточного риска после применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;

i)мониторинг рисков в платежной системе, в том числе уровня остаточного риска после применения способов управления рисками в платежной системе, его соответствия уровню допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;

j)составление и пересмотр (актуализацию) профиля каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, включая профиль риска нарушения БФПС.

3.4. Оператор платежной системы должен составлять профили рисков в соответствии с требованиями, предусмотренными в приложении 2 к настоящему Положению, и пересматривать (актуализировать) их по результатам плановой или внеплановой оценки всех рисков в платежной системе, а также внеплановой оценки отдельных рисков (отдельного риска) в платежной системе.

3.5. Оператор платежной системы должен хранить сведения, содержащиеся в профилях рисков, не менее пяти лет со дня составления и пересмотра (актуализации) профилей рисков.

Глава 4. Заключительные положения.

4.1. Настоящее Положение вступает в силу со дня его официального опубликования.

Утверждено Председателем Центрального банка

С.И. Шабулдаев

*******

Приложение 1 к Положению «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков»

ТРЕБОВАНИЯ К ОПРЕДЕЛЕНИЮ ПОКАЗАТЕЛЕЙ БФПС.

1. Показатель П1 должен рассчитываться по каждому из операторов УПИ и по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания УПИ.

При возникновении инцидентов, повлекших приостановление оказания УПИ одновременно двумя и более операторами УПИ, показатель П1 должен рассчитываться как период времени с момента возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания УПИ всеми операторами УПИ, у которых возникли инциденты.

Показатель П1 должен рассчитываться в часах/минутах/секундах.

2. Показатель П2 должен рассчитываться по каждому из операторов УПИ при возникновении каждого из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими у оператора УПИ инцидентами, в результате которых приостанавливалось оказание УПИ, с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента.

В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П2 должен рассчитываться одновременно по всем видам УПИ, оказываемым данным оператором УПИ.

Показатель П2 должен рассчитываться в часах/минутах/секундах.

3. Показатель П3 должен рассчитываться по каждому оператору УПИ.

Для операционного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца, рассчитываемое по следующей формуле:

где:

– количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур,

– общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца.

Для платежного клирингового центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца, рассчитываемое по следующей формуле:

где:

– количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур,

– общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца.

Для расчетного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца, рассчитываемое по следующей формуле:

где:

– количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур,

– общее количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца.

Показатель П3 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).

Значение показателя П3 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операторам УПИ в отношении всех видов оказываемых ими услуг.

В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П3 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.

4. Показатель П4 должен рассчитываться как среднее значение коэффициента доступности операционного центра платежной системы за календарный месяц, рассчитываемое по следующей формуле:

где:

M – количество рабочих дней платежной системы в месяце,

– общая продолжительность всех приостановлений оказания операционных услуг операционным центром платежной системы за i–ый рабочий день месяца в минутах,

– общая продолжительность времени оказания операционных услуг в течение i–го рабочего дня в минутах, установленная в соответствии с временным регламентом функционирования платежной системы.

Показатель П4 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).

Для платежных систем с несколькими операционными центрами показатель П4 должен рассчитываться для каждого операционного центра платежной системы.

Значение показателя П4 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операционным центрам платежной системы.

5. Показатель П5 должен рассчитываться по платежной системе в целом и для каждого оператора УПИ в отдельности как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, рассчитываемый по следующей формуле:

где:

– количество инцидентов в течение i–го рабочего дня платежной системы оцениваемого календарного месяца,

M – количество рабочих дней платежной системы в оцениваемом календарном месяце,

N – количество рабочих дней платежной системы за 12 предыдущих календарных месяцев, включая оцениваемый месяц.

Показатель П5 должен рассчитываться ежемесячно в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя признается равным нулю.

В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П5 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.

Приложение 2 к Положению «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков»

ТРЕБОВАНИЯ К ПРОФИЛЯМ РИСКОВ.

1. Профили рисков должны составляться по всем значимым рискам в платежной системе, указанным в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, в том числе по следующим рискам:

a)по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие несоблюдения субъектами платежной системы требований законодательства, правил платежной системы, договоров, заключенных между субъектами платежной системы, документов оператора платежной системы и документов операторов УПИ либо вследствие наличия правовых коллизий и (или) правовой неопределенности в законодательстве, нормативных актах Государственного банка, правилах платежной системы и договорах, заключенных между субъектами платежной системы, а также вследствие нахождения операторов УПИ и участников платежной системы под юрисдикцией различных государств (далее – правовой риск платежной системы);

b)по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие возникновения у субъектов платежной системы сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий персонала субъектов платежной системы либо вследствие воздействия событий, причины возникновения которых не связаны с деятельностью субъектов платежной системы, включая чрезвычайные ситуации, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы);

c)по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, центральным платежным клиринговым контрагентом или расчетным центром платежной системы вследствие невыполнения участниками платежной системы договорных обязательств перед указанными организациями в установленный срок или в будущем (далее – финансовый риск платежной системы);

d)по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие отсутствия у центрального платежного клирингового контрагента и (или) у участников платежной системы денежных средств, достаточных для своевременного выполнения их обязательств перед другими субъектами платежной системы (далее – риск ликвидности платежной системы);

e)по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие ухудшения финансового состояния оператора платежной системы и (или) операторов УПИ, не связанного с реализацией финансового риска платежной системы и риска ликвидности платежной системы (общий коммерческий риск платежной системы).

Составление профиля правового риска платежной системы в части вопросов несоблюдения законодательства, нормативных актов Государственного банка, правил платежной системы осуществляется службой внутреннего контроля (комплаенс–службой) оператора платежной системы в рамках управления регуляторным риском в соответствии с Положением «Об организации внутреннего контроля в финансовых организациях и банковских группах», если в соответствии с подпунктом 2.2.1 пункта 2.2 настоящего Положения система управления рисками в платежной системе интегрирована оператором платежной системы, являющимся финансовой организацией, в его системы управления рисками и капиталом, а также внутреннего контроля, организованные в соответствии с Указанием «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы», и Положением «Об организации внутреннего контроля в финансовых организациях и банковских группах».

2. Профиль каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения должен содержать:

a)описание риск–событий, выявленных с применением не менее чем одного метода из числа. Риск–события отражаются в профиле каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;

b)описание причины возникновения каждого из риск–событий;

c)описание бизнес–процессов, в которых могут произойти риск–события;

d)вероятность наступления риск–событий. Определение вероятности наступления риск–событий осуществляется с применением не менее одного метода из числа предусмотренных Стандартом;

e)описание и оценку возможных неблагоприятных последствий каждого риск–события. Если риск–событие имеет несколько возможных неблагоприятных последствий, то указываются все неблагоприятные последствия данного риск–события. Определение неблагоприятных последствий риск–событий осуществляется с применением методов из числа предусмотренных Стандартом с учетом результатов анализа сведений об инцидентах;

f)описание бизнес–процессов и перечень субъектов платежной системы, на которые влияет риск–событие;

g)уровень присущего риска до применения способов управления рисками в платежной системе;

h)уровень допустимого риска, указанный в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;

i)уровень остаточного риска после применения способов управления рисками в платежной системе;

j)перечень способов управления рисками в платежной системе.

3. Профиль риска нарушения БФПС должен составляться как сводный профиль в отношении всех значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения.