(1).jpg)
Положение Банка России от 27 октября 2020 г. № 738-П "О порядке обеспечения бесперебойности функционирования платежной системы Банка России" (документ не вступил в силу)
Настоящее Положение на основании пункта 14 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2019, № 31, ст. 4423), пункта 2.1 Положения Банка России от 3 октября 2017 года № 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", зарегистрированного Министерством юстиции Российской Федерации 22 декабря 2017 года № 49386, устанавливает порядок обеспечения бесперебойности функционирования платежной системы Банка России.
Глава 1. Общие положения
1.1. Понятия, используемые в настоящем Положении, применяются в значениях, установленных Федеральным законом от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2020, № 30, ст. 4738) (далее - Федеральный закон "О национальной платежной системе").
1.2. Бесперебойность функционирования платежной системы Банка России (далее - БФПС) достигается при условии оказания в платежной системе Банка России (далее - ПС) в отношении распоряжений о переводе денежных средств, представленных в электронном виде по каналам связи, услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона "О национальной платежной системе", нормативных актов Банка России, в том числе определяющих правила ПС, условиям договоров, на основании которых осуществляется банковское обслуживание участников ПС, договора о взаимодействии платежных систем (далее -надлежащее оказание УПИ), или при условии восстановления надлежащего оказания УПИ, восстановления оказания УПИ (в случае приостановления их оказания) в следующие сроки:
не более двух часов для сервиса срочного перевода и сервиса несрочного перевода при восстановлении оказания УПИ в случае приостановления их оказания;
не более сорока восьми часов для сервиса срочного перевода и сервиса несрочного перевода и не более двух часов для сервиса быстрых платежей (далее - СБП) при восстановлении надлежащего оказания УПИ.
1.3. Надлежащим оказанием УПИ признается оказание УПИ в течение временного интервала, указанного в приложении 1 к настоящему Положению.
Гарантированный уровень бесперебойности оказания операционных услуг, характеризующий качество функционирования операционных и технологических средств платежной инфраструктуры Банка России, достигается при соблюдении пороговых уровней индикатора доступности операционного центра, расчет которого осуществляется в соответствии с подпунктом 2.4 пункта 2 приложения 2 к настоящему Положению.
1.4. Банк России, осуществляя деятельность по обеспечению БФПС, должен:
1.4.1. организовать систему управления рисками в ПС, присущими бизнес-процессу, в рамках которого обеспечивается функционирование ПС (далее - бизнес-процесс);
1.4.2. осуществлять идентификацию операционных рисков, включая правовые риски, рисков ликвидности, кредитных рисков, реализация которых способна оказать воздействие на деятельность Банка России и оператора внешней платежной системы, выполняющего функции операционного и платежного клирингового центра в рамках СБП (далее - ОПКЦ внешней платежной системы), в части неоказания УПИ в соответствии со шкалой оценки воздействия риска, приведенной в подпункте 3.2.3 пункта 3.2 настоящего Положения, а также со шкалами оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными методикой управления операционными рисками Банка России (далее - значимые риски), а также совершать иные действия, предусмотренные пунктом 3.1 настоящего Положения (далее при совместном упоминании - управление рисками в ПС);
1.4.3. выявлять риск-события, регистрировать риск-события, которым присвоен уровень воздействия на деятельность Банка России как оператора ПС в соответствии со шкалой оценки воздействия риска, приведенной в подпункте 3.2.3 пункта 3.2 настоящего Положения, а также со шкалами оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными методикой управления операционными рисками Банка России (далее - инциденты), определять их влияние на БФПС, а также совершать иные действия, предусмотренные пунктом 4.1 настоящего Положения, в целях восстановления оказания УПИ в случае приостановления их оказания и восстанавливать надлежащее оказание УПИ (далее при совместном упоминании - управление непрерывностью функционирования ПС);
1.4.4. организовывать и осуществлять взаимодействие Банка России, ОПКЦ внешней платежной системы и участников ПС, направленное на обеспечение БФПС;
1.4.5. осуществлять контроль за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС.
1.5. Банк России должен организовывать деятельность по обеспечению БФПС с учетом организационной модели управления рисками, предусматривающей самостоятельное управление Банком России рисками в ПС.
Деятельность по обеспечению БФПС должна осуществляться в том числе с использованием программно-технических средств.
1.6. Управление риском информационной безопасности в ПС и установление ключевых индикаторов рисков (далее - КИР) для указанного риска должно осуществляться Банком России в рамках обеспечения защиты информации в ПС.
Глава 2. Организационная структура, используемая Банком России при обеспечении бесперебойности функционирования платежной системы Банка России
2.1. Организационная структура, используемая Банком России при обеспечении БФПС, должна включать три уровня:
на первом уровне управление рисками в ПС, а также управление непрерывностью функционирования ПС должно осуществляться структурными подразделениями подразделений Банка России при выполнении ими бизнес-процесса (далее - ПУРиН), руководителями ПУРиН, руководителем структурного подразделения центрального аппарата Банка России, реализующего полномочия оператора ПС и ответственного за функционирование ПС в целом (далее - подразделение, реализующее полномочия оператора ПС), заместителем Председателя Банка России, курирующим вопросы организации и функционирования национальной платежной системы (далее - курирующий руководитель Банка России), Председателем Банка России, а также структурными подразделениями ОПКЦ внешней платежной системы, выполняющими бизнес-процесс в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - ПУРиН внешней платежной системы);
на втором уровне координация и методологическая поддержка деятельности по обеспечению БФПС должны выполняться подразделением, реализующим полномочия оператора ПС, и структурным подразделением центрального аппарата Банка России, ответственным за развитие системы управления рисками Банка России (далее - УРСУР), Комитетом по управлению рисками в ПС (далее - Комитет), а также подразделением ОПКЦ внешней платежной системы, ответственным за контроль рисков в СБП (далее - УпКР);
на третьем уровне должны проводиться оценка системы управления рисками в ПС (далее - СУР) Службой главного аудитора Банка России, и оценка системы управления рисками ОПКЦ внешней платежной системы - подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы.
2.2. Обеспечение БФПС должно осуществляться следующими субъектами организационной структуры:
Председателем Банка России;
курирующим руководителем Банка России;
Комитетом;
руководителем подразделения, реализующего полномочия оператора ПС (далее - владелец бизнес-процесса);
руководителем ПУРиН;
работниками подразделений Банка России, в состав которых в том числе входят ПУРиН (далее - работники структурных подразделений Банка России);
работниками УРСУР, выполняющими методологические функции по управлению рисками, присущими бизнес-процессу (далее - работники УРСУР);
работниками подразделения, реализующего полномочия оператора ПС, выполняющими методологические функции по управлению непрерывностью функционирования ПС (далее - работники оператора ПС);
работниками подразделения, реализующего полномочия оператора ПС, назначенными владельцем бизнес-процесса для координации и выполнения работ по обеспечению БФПС (далее - риск-координаторы бизнес-процесса);
работниками ПУРиН, назначенными руководителем ПУРиН для координации и выполнения работ по обеспечению БФПС в рамках компетенции данного ПУРиН (далее - риск-координаторы ПУРиН);
работником ОПКЦ внешней платежной системы, назначенным руководителем ОПКЦ внешней платежной системы для координации и выполнения работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - риск-координатор СБП внешней платежной системы). Руководитель ОПКЦ внешней платежной системы может назначить нескольких работников ОПКЦ внешней платежной системы риск-координаторами СБП внешней платежной системы;
работниками ПУРиН внешней платежной системы, осуществляющими координацию и выполнение работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП в рамках компетенции данного структурного подразделения ОПКЦ внешней платежной системы (далее - риск-координаторы ПУРиН внешней платежной системы).
2.2.1. Председатель Банка России:
рассматривает и утверждает ежегодный отчет об управлении рисками в ПС;
принимает решения о реагировании на инциденты, воздействие которых требует перехода на оказание УПИ с использованием резервных автоматизированных систем;
принимает решения о выделении ресурсов для обеспечения БФПС.
2.2.2. Курирующий руководитель Банка России:
осуществляет контроль за обеспечением БФПС;
согласовывает предложения владельца бизнес-процесса по мерам реагирования на значимые риски (далее - меры реагирования) III зоны карты рисков, представленной в приложении 3 к настоящему Положению, и обеспечивает организацию выполнения принятых решений;
согласовывает КИР, предложенные владельцем бизнес-процесса в дополнение к указанным в приложении 2 к настоящему Положению (далее - дополнительные КИР), или отмену дополнительных КИР;
утверждает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора ПС (далее - план ОНиВД);
обеспечивает принятие решений о применении мер реагирования, направленных на обеспечение непрерывности функционирования ПС в условиях инцидента (далее - ответные меры), приводящего к приостановлению оказания одной или нескольких УПИ более чем на два часа, в том числе о реализации соответствующей последовательности действий плана ОНиВД (далее - сценарий плана ОНиВД), за исключением решений, отнесенных к компетенции Председателя Банка России подпунктом 2.2.1 настоящего пункта;
принимает решения по спорным вопросам, возникающим при обеспечении БФПС, в том числе при отсутствии по ним согласованной позиции у подразделений Банка России, обеспечивающих функционирование ПС.
2.2.3. Комитет является коллегиальным органом по управлению рисками, присущими бизнес-процессу. Функции, состав и полномочия Комитета, в том числе в части оценки СУР, определяются положением о Комитете, утвержденным организационно-распорядительным документом Банка России.
2.2.4. Владелец бизнес-процесса должен обеспечивать БФПС посредством выполнения следующих мероприятий.
В части управления рисками в ПС владелец бизнес-процесса должен:
обеспечивать формирование и поддержание в актуальном состоянии описания бизнес-процесса;
совместно с руководителями ПУРиН обеспечивать идентификацию значимых рисков, присущих бизнес-процессу;
утверждать перечень значимых рисков;
совместно с руководителями ПУРиН обеспечивать проведение оценки значимых рисков;
организовывать ведение профиля риска нарушения БФПС, содержащего информацию о значимых рисках (далее - профиль рисков в ПС), и утверждать профиль рисков в ПС, подготовленный по результатам проведенной оценки значимых рисков;
обеспечивать подготовку, направление курирующему руководителю Банка России предложений о реагировании на значимые риски III зоны карты рисков и выполнение принятых решений по ним;
рассматривать и согласовывать предложения риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы по мерам реагирования на значимые риски II зоны карты рисков, обеспечивать организацию выполнения принятых решений по ним;
обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр;
направлять курирующему руководителю Банка России при наличии предложения о разработке (отмене) дополнительных КИР и обеспечивать выполнение принятых решений по ним;
обеспечивать мониторинг уровней значимых рисков и их анализ, в том числе в режиме реального времени, посредством расчета с заданной периодичностью текущих значений КИР и сопоставления их в режиме реального времени с пороговыми значениями КИР (далее - мониторинг уровней значимых рисков), а также принимать решение о назначении ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5, расчет которых осуществляется в соответствии с пунктом 2 приложения 2 к настоящему Положению;
обеспечивать проведение оценки эффективности управления рисками в ПС и принимать меры, направленные на решение проблем, возникших у нескольких подразделений Банка России при обеспечении БФПС (далее -системные проблемы);
обеспечивать подготовку ежегодного отчета об управлении рисками в ПС;
обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;
обеспечивать непрерывность исполнения обязанностей, возложенных настоящим Положением на риск-координаторов бизнес-процесса и риск-координаторов ПУРиН, в период их отсутствия на рабочем месте более одного рабочего дня (для риск-координаторов ПУРиН с учетом графика работы ПУРиН).
В части управления непрерывностью функционирования ПС владелец бизнес-процесса должен:
обеспечивать выявление и регистрацию инцидентов;
обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;
обеспечивать проведение оценки влияния на БФПС каждого и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;
принимать решения о применении ответных мер включая активацию сценариев плана ОНиВД в отношении инцидентов, приводящих к нарушению надлежащего оказания УПИ в ПС, в том числе к приостановлению оказания одной или нескольких УПИ менее чем на два часа, за исключением решений, отнесенных к компетенции Председателя Банка России, курирующего руководителя Банка России, руководителей ПУРиН;
обеспечивать подготовку предложений о применении ответных мер, в том числе об активации сценариев плана ОНиВД, отнесенных к компетенции Председателя Банка России или курирующего руководителя Банка России, и выполнение принятых решений о применении указанных мер;
обеспечивать проведение оценки эффективности управления непрерывностью функционирования ПС и принимать меры, направленные на решение системных проблем.
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС владелец бизнес-процесса должен обеспечивать:
информирование участников ПС о приостановлении и восстановлении оказания УПИ в ПС;
информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП.
В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы требований настоящего Положения по обеспечению БФПС владелец бизнес-процесса должен:
обеспечивать рассмотрение документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;
утверждать подготовленные риск-координаторами бизнес-процесса результаты рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.
2.2.5. Руководители ПУРиН должны обеспечивать БФПС в части компетенции ПУРиН посредством выполнения следующих мероприятий.
В части управления рисками в ПС руководители ПУРиН должны:
обеспечивать формирование и поддержание в актуальном состоянии описания выполняемых шагов (операций) бизнес-процесса, в том числе посредством направления владельцу бизнес-процесса предложений о внесении изменений в их описание;
обеспечивать идентификацию значимых рисков, присущих бизнес-процессу, и осуществлять согласование перечня значимых рисков, подготовленного риск-координаторами ПУРиН;
обеспечивать проведение оценки значимых рисков;
организовывать ведение информации о значимых рисках в рамках профиля рисков в ПС в части компетенции ПУРиН и согласовывать содержание данной информации, подготовленной риск-координаторами ПУРиН, в профиле рисков в ПС по результатам оценки значимых рисков;
обеспечивать подготовку, направление владельцу бизнес-процесса предложений о реагировании на значимые риски III и II зоны карты рисков и выполнение принятых решений по ним;
обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр в части компетенции ПУРиН;
рассматривать предложения риск-координаторов ПУРиН об установлении (отмене) дополнительных КИР, вносить предложения об установлении (отмене) дополнительных КИР владельцу бизнес-процесса и обеспечивать выполнение принятых решений по ним;
обеспечивать проведение мониторинга уровней значимых рисков на предмет своевременного применения мер реагирования;
обеспечивать подготовку материалов для включения в ежегодный отчет об управлении рисками в ПС;
обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;
обеспечивать осведомленность работников ПУРиН о значимых рисках и порядке управления ими.
В части управления непрерывностью функционирования ПС руководители ПУРиН должны:
обеспечивать выявление и регистрацию инцидентов;
обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;
обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса, в части компетенции ПУРиН;
принимать решения о применении ответных мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ менее чем на два часа, за исключением решений, отнесенных к компетенции Председателя Банка России, курирующего руководителя Банка России, владельца бизнес-процесса;
обеспечивать реализацию ответных мер, в том числе по активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ более чем на два часа.
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС руководители ПУРиН должны обеспечивать:
информирование участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;
информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в СБП, если такое информирование отнесено к компетенции ПУРиН.
2.2.6. Работники подразделений Банка России должны выполнять решения по обеспечению БФПС, принятые Председателем Банка России, курирующим руководителем Банка России, владельцем бизнес-процесса и руководителями соответствующих ПУРиН, а также информировать риск-координаторов ПУРиН своего подразделения Банка России об идентифицированных рисках, присущих бизнес-процессу, и выявленных инцидентах, представлять документы и информацию по запросам риск-координаторов бизнес-процесса и риск-координаторов ПУРиН своего подразделения Банка России.
2.2.7. Работники УРСУР должны осуществлять координацию и методологическую поддержку деятельности по управлению рисками, присущими бизнес-процессу, в том числе:
осуществлять верификацию сведений о значимых рисках и сведений о дополнительных КИР;
разрабатывать и поддерживать в актуальном состоянии структурированные справочники источников риска (риск-факторов), областей реализации рисков (риск-событий) и мер реагирования;
проводить анализ данных о значимых рисках и об управлении ими, в том числе на предмет выявления системных проблем, и при их наличии готовить предложения для подразделений Банка России и (или) руководства Банка России, направленные на повышение эффективности управления рисками в ПС.
2.2.8. Работники оператора ПС должны осуществлять координацию и методологическую поддержку деятельности по управлению непрерывностью функционирования ПС.
2.2.9. Работники УпКР должны осуществлять координацию и методологическую поддержку деятельности работников ПУРиН внешней платежной системы по вопросам обеспечения БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП.
2.2.10. Риск-координаторы бизнес-процесса должны оказывать методологическую поддержку руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН, а также риск-координатору СБП внешней платежной системы по вопросам обеспечения БФПС и выполнять следующие мероприятия.
В части управления рисками в ПС риск-координаторы бизнес-процесса должны:
контролировать актуальность описания бизнес-процесса;
идентифицировать риски, присущие бизнес-процессу, и формировать перечень значимых рисков;
согласовывать подготовленные ПУРиН результаты оценки значимых рисков и составлять профиль рисков в ПС;
рассматривать предложения ПУРиН, ПУРиН внешней платежной системы о применении мер реагирования в отношении значимых рисков III и II зоны карты рисков;
осуществлять контроль за своевременным выполнением ПУРиН решений о применении в отношении значимых рисков мер реагирования, принятых курирующим руководителем Банка России и владельцем бизнес-процесса, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;
обеспечивать согласованность планов ОНиВД разного уровня, подготовленных риск-координаторами ПУРиН, риск-координаторами ПУРиН внешней платежной системы;
обеспечивать подготовку плана ОНиВД, участвовать в его тестировании и пересмотре;
согласовывать разработанные риск-координаторами ПУРиН дополнительные КИР, а также предложения по их отмене;
подготавливать предложения для владельца бизнес-процесса по назначению ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5, проводить оценку эффективности управления рисками в ПС и подготавливать предложения для владельца бизнес-процесса по принятию мер, направленных на совершенствование бизнес-процесса;
осуществлять подготовку ежегодного отчета об управлении рисками в ПС;
доводить до сведения риск-координатора СБП внешней платежной системы информацию о владельце бизнес-процесса и риск-координаторах бизнес-процесса, осуществляющих координацию деятельности по обеспечению БФПС с ОПКЦ внешней платежной системы;
подготавливать предложения для владельца бизнес-процесса по реализации решений Комитета, сформированных по итогам проведенной оценки СУР.
В части управления непрерывностью функционирования ПС риск-координаторы бизнес-процесса должны:
согласовывать сведения о выявленных риск-координаторами ПУРиН инцидентах;
согласовывать результаты оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;
согласовывать предложения риск-координаторов ПУРиН о применении в отношении инцидентов, реализовавшихся при выполнении бизнес-процесса, ответных мер, в том числе сценариев плана ОНиВД;
осуществлять контроль за своевременным выполнением работниками ПУРиН решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;
проводить оценку эффективности управления непрерывностью функционирования ПС.
В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координаторы бизнес-процесса должны:
анализировать документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, на их соответствие настоящему Положению, в том числе с использованием подготовленного риск-координатором СБП внешней платежной системы заключения о соответствии документов ОПКЦ внешней платежной системы настоящему Положению (далее - заключение о соответствии);
формировать предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;
направлять на утверждение владельцу бизнес-процесса сформированные предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.
2.2.11. Риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны оказывать методологическую поддержку работникам ПУРиН, работникам ПУРиН внешней платежной системы соответственно по вопросам обеспечения БФПС и проводить следующие мероприятия в части компетенции ПУРиН, ПУРиН внешней платежной системы.
В части управления рисками в ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:
контролировать актуальность описания бизнес-процесса (для риск-координаторов ПУРиН);
контролировать актуальность документов ОПКЦ внешней платежной системы, устанавливающих порядок взаимодействия участника СБП, ОПКЦ внешней платежной системы и Банка России (далее - стандарты ОПКЦ внешней платежной системы) (для риск-координаторов ПУРиН внешней платежной системы);
участвовать в идентификации значимых рисков и формировании перечня значимых рисков;
проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к компетенции ПУРиН;
проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к ПУРиН внешней платежной системы (для риск-координаторов ПУРиН);
подготавливать предложения о применении в отношении значимых рисков III и II зоны карты рисков мер реагирования и согласовывать их с руководителями ПУРиН (для риск-координаторов ПУРиН), риск-координатором СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);
осуществлять контроль за своевременным выполнением ПУРиН решений, принятых курирующим руководителем Банка России (владельцем бизнес-процесса, руководителями ПУРиН в части, относящейся к компетенции ПУРиН), о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН;
осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений, принятых риск-координатором СБП внешней платежной системы в части, относящейся к компетенции ПУРиН внешней платежной системы, о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН внешней платежной системы;
подготавливать предложения к плану ОНиВД, участвовать в тестировании плана ОНиВД и пересмотре плана ОНиВД;
подготавливать по результатам оценки значимых рисков предложения по дополнительным КИР или их отмене (при наличии предложений);
проводить мониторинг уровней значимых рисков;
участвовать в подготовке материалов для включения в ежегодный отчет об управлении рисками в ПС.
В части управления непрерывностью функционирования ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:
выявлять инциденты и регистрировать инциденты;
проводить оценку влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, управление которыми отнесено к компетенции ПУРиН, ПУРиН внешней платежной системы, и направлять результаты оценки на согласование риск-координаторам бизнес-процесса (для риск-координаторов ПУРиН), риск-координатору СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);
подготавливать предложения для руководителей ПУРиН, риск-координатора СБП внешней платежной системы о применении в отношении выявленных инцидентов ответных мер, в том числе сценариев плана ОНиВД;
осуществлять контроль за своевременным выполнением работниками ПУРиН, работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН, работникам ПУРиН внешней платежной системы;
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС:
риск-координаторы ПУРиН должны контролировать выполнение мероприятий по информированию:
участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;
ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН;
риск-координаторы ПУРиН внешней платежной системы должны контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН внешней платежной системы.
2.2.12. Риск-координатор СБП внешней платежной системы должен обеспечивать БФПС в рамках СБП в части функций ОПКЦ внешней платежной системы и проводить следующие мероприятия.
В части управления рисками в ПС риск-координатор СБП внешней платежной системы должен:
контролировать актуальность стандартов ОПКЦ внешней платежной системы;
идентифицировать значимые риски ОПКЦ внешней платежной системы и формировать перечень значимых рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы;
обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки значимых рисков ОПКЦ внешней платежной системы;
составлять профиль рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы, и направлять профиль рисков ОПКЦ внешней платежной системы владельцу бизнес-процесса;
обеспечивать подготовку предложений риск-координаторами ПУРиН внешней платежной системы о применении дополнительных мер реагирования в отношении значимых рисков ОПКЦ внешней платежной системы III и II зоны карты рисков, согласовывать их;
составлять план реализации дополнительных мер реагирования, указанных в профиле рисков ОПКЦ внешней платежной системы, и направлять его владельцу бизнес-процесса;
осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений о применении в отношении значимых рисков ОПКЦ внешней платежной системы дополнительных мер реагирования;
обеспечивать подготовку плана ОНиВД ОПКЦ внешней платежной системы, участвовать в его тестировании и пересмотре;
рассматривать предложения риск-координаторов ПУРиН внешней платежной системы по дополнительным КИР или их отмене;
направлять при наличии предложения о разработке или отмене дополнительных КИР риск-координаторам бизнес-процесса;
обеспечивать проведение мониторинга уровней значимых рисков ОПКЦ внешней платежной системы;
обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки эффективности управления рисками ОПКЦ внешней платежной системы;
обеспечивать подготовку и направление риск-координатору бизнес-процесса информации для включения в ежегодный отчет об управлении рисками в ПС;
обеспечивать выполнение решений Комитета, сформированных по итогам проведенной оценки СУР и оценки системы управления рисками ОПКЦ внешней платежной системы.
В части управления непрерывностью функционирования ПС риск-координатор СБП внешней платежной системы должен:
обеспечивать выявление и регистрацию инцидентов, согласовывать сведения о выявленных риск-координаторами ПУРиН внешней платежной системы инцидентах и направлять указанные сведения риск-координаторам бизнес-процесса;
обеспечивать полноту и корректность данных о зарегистрированных инцидентах;
обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, а также согласовать результаты указанной оценки с риск-координаторами бизнес-процесса;
осуществлять контроль за своевременным выполнением работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН внешней платежной системы, риск-координаторам ПУРиН внешней платежной системы и другим работникам ПУРиН внешней платежной системы;
обеспечивать проведение оценки эффективности управления непрерывностью функционирования ПС.
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС риск-координатор СБП внешней платежной системы должен контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ.
В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координатор СБП внешней платежной системы должен:
обеспечивать разработку и поддержание в актуальном состоянии документов ОПКЦ внешней платежной системы, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, соответствующих требованиям настоящего Положения по обеспечению БФПС;
направлять владельцу бизнес-процесса на рассмотрение документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, и заключение о соответствии;
контролировать соблюдение требований документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП сотрудниками ПУРиН внешней платежной системы.
2.3. Обязанности субъектов организационной структуры при выполнении ими деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, также определяются договором о взаимодействии платежных систем, заключенным между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2019, № 31, ст. 4423).
Глава 3. Управление рисками в платежной системе Банка России
3.1. Управление рисками в ПС должно осуществляться посредством поддержания в актуальном состоянии описания бизнес-процесса и стандартов ОПКЦ внешней платежной системы, подготовки и актуализации перечня значимых рисков, идентификации значимых рисков, проведения оценки значимых рисков и действующих мер реагирования, принятия решения о реагировании на значимые риски после применения действующих мер реагирования (далее - остаточный риск), утверждения профиля рисков в ПС, актуализации данных о значимых рисках (далее при совместном упоминании - самооценка), а также мониторинга уровней значимых рисков.
3.2. Самооценка должна выполняться подразделениями Банка России в соответствии с методикой управления операционными рисками Банка России, структурными подразделениями ОПКЦ внешней платежной системы - в соответствии с приложением 4 к настоящему Положению и следующими мероприятиями (далее при совместном упоминании - методики анализа рисков).
3.2.1. Идентификация значимых рисков должна осуществляться с последовательным применением следующих способов и сопоставлением полученных результатов:
"снизу вверх" - способ, при котором значимые риски должны идентифицироваться риск-координаторами бизнес-процесса совместно с руководителями ПУРиН, риск-координаторами ПУРиН и работниками структурных подразделений Банка России, обладающими необходимым профессиональным опытом и знаниями о бизнес-процессе, риск-координатором СБП внешней платежной системы совместно с риск-координаторами ПУРиН внешней платежной системы;
"сверху вниз" - способ, при котором значимые риски должны идентифицироваться владельцем бизнес-процесса.
3.2.2. Для обеспечения эффективного управления рисками в ПС, в том числе выявления системных проблем, идентификации должны подлежать как значимые риски в рамках одного бизнес-процесса, так и значимые риски в рамках нескольких бизнес-процессов, реализация которых является источником рисков бизнес-процесса (далее - связанные риски).
3.2.3. Для определения уровня значимого риска в ПС должна осуществляться оценка значимого риска с использованием шкалы оценки вероятности реализации риска, приведенной в приложении 5 к настоящему Положению, и следующей шкалы оценки воздействия риска.
3.2.3.1. Очень сильное воздействие - недостижение целей, невыполнение (ненадлежащее выполнение) функций Банка России в части оказания УПИ при выполнении хотя бы одного условия:
непоступление в рамках операционного дня в течение периода времени, превышающего два часа, в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 75 процентов от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
непоступление в течение периода времени, превышающего один час, в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП в ПС;
доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 75 процентов от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.
3.2.3.2. Сильное воздействие - задержки в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
непоступление в рамках операционного дня в течение периода времени от одного часа до двух часов (включительно) в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 50 процентов, но меньше 75 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
непоступление в течение периода времени от тридцати минут до одного часа (включительно) в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП для исполнения с использованием СБП;
доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 50 процентов, но меньше 75 процентов (включительно) от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.
3.2.3.3. Среднее воздействие - нарушения в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
непоступление в рамках операционного дня течение периода времени от тридцати минут до одного часа (включительно) в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 25 процентов, но меньше 50 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
непоступление в течение периода времени от пятнадцати минут до тридцати минут (включительно) в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП для исполнения с использованием СБП;
доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 25 процентов, но меньше 50 процентов (включительно) от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.
3.2.3.4. Низкое воздействие - перебои в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
непоступление в рамках операционного дня в течение периода времени от пятнадцати минут до тридцати минут (включительно) в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 10 процентов, но меньше 25 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
непоступление в течение периода времени от четырех минут до пятнадцати минут (включительно) в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП для исполнения с использованием СБП;
доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 10 процентов, но меньше 25 процентов (включительно) от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.
3.2.3.5. Незначительное воздействие - перебои в осуществлении отдельных процедур при выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
доля количества распоряжений, поступивших от одного участника ПС и исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 2 процента от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от указанного участника ПС за предыдущий календарный месяц;
доля количества распоряжений, поступивших от двух и более участников ПС и исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 5 процентов от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от указанных участников ПС за предыдущий календарный месяц;
количество распоряжений, поступивших от одного участника ПС и исполненных более чем за тридцать секунд до момента восстановления надлежащего оказания УПИ, превысила 5 000 распоряжений, поступивших от указанного участника ПС в течение суток для исполнения с использованием СБП;
количество распоряжений, поступивших от двух и более участников ПС и исполненных более чем за тридцать секунд до момента восстановления надлежащего оказания УПИ, превысила 15 000 распоряжений, поступивших от указанных участников ПС в течение суток для исполнения с использованием СБП.
3.2.4. Решение о применении мер реагирования по выявленным рискам должно приниматься в зависимости от расположения рисков на карте рисков, предусмотренной в приложении 3 к настоящему Положению.
Для рисков, расположенных в I зоне карты рисков, решение о применении мер реагирования должно приниматься на уровне руководителя ПУРиН, во II зоне - на уровне владельца бизнес-процесса, в III зоне - на уровне курирующего руководителя Банка России.
3.2.5. Проведение самооценки должно осуществляться с использованием в том числе следующей информации:
сведений, представленных работниками Банка России и работниками ОПКЦ внешней платежной системы;
результатов мониторинга уровней значимых рисков;
результатов анализа эффективности управления рисками в ПС и эффективности управления непрерывностью функционирования ПС;
сведений об инцидентах;
результатов оценки СУР, проведенной Службой главного аудитора Банка России, и результатов оценки системы управления рисками ОПКЦ внешней платежной системы, проведенной подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы;
результатов оценки СУР, в том числе методики анализа рисков, проведенной Комитетом;
результатов мероприятий, проведенных органами государственного контроля (надзора).
3.2.6. План ОНиВД как мера реагирования должен разрабатываться в соответствии с требованиями, приведенными в приложении 6 к настоящему Положению, а также с учетом следующего:
сценарии, включенные в план ОНиВД, должны разрабатываться в отношении значимых операционных рисков, для которых в качестве мер реагирования предусматривается разработка плана ОНиВД;
план ОНиВД должен состоять из иерархически взаимосвязанных планов, каждый из которых регламентирует деятельность ПУРиН, ПУРиН внешней платежной системы или подразделения, руководителем которого является владелец бизнес-процесса, в пределах их компетенции при обеспечении надлежащего оказания УПИ.
3.2.7. Самооценка должна проводиться в сроки, установленные организационно-распорядительным документом Банка России (далее - плановая самооценка), или по решению владельца бизнес-процесса (далее - внеплановая самооценка).
Внеплановая самооценка должна проводиться в срок, не превышающий 6 месяцев со дня принятия решения владельцем бизнес-процесса о проведении самооценки.
3.2.8. Внеплановую полную самооценку следует проводить в отношении всех значимых рисков в случаях, требующих пересмотра профиля рисков в ПС, уровней значимых рисков и мер реагирования, в том числе при изменениях в бизнес-процессе, и (или) во внешней, и (или) внутренней среде, которые могут оказать влияние на надлежащее оказание УПИ, а также в случае возникновения инцидента, для которого не предусмотрено описание значимого риска в профиле рисков в ПС и реализация которого привела к приостановлению оказания УПИ. О принятом решении о проведении внеплановой полной самооценки владелец бизнес-процесса обязан проинформировать работников УРСУР и риск-координатора СБП внешней платежной системы не позднее рабочего дня, следующего за датой ее начала.
3.2.9. Внеплановую частичную самооценку следует проводить в отношении значимых рисков в случаях, требующих пересмотра их описания, в том числе когда результаты мониторинга уровней значимых рисков свидетельствуют о более высоком уровне риска по сравнению с данными последней самооценки, о неэффективности (недостаточности) применяемых мер реагирования или о наличии значимых рисков, которые в ходе последней самооценки не были идентифицированы как значимые.
3.2.10. По результатам проведенной самооценки риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы, риск-координатор СБП внешней платежной системы должны заполнить профиль рисков в ПС в части своей компетенции, риск-координаторы бизнес-процесса должны составить профиль рисков в ПС. Профиль рисков составляется в соответствии с приложением 7 к настоящему Положению.
Профиль рисков в ПС, а также допустимые уровни значимых рисков должны согласовываться владельцем бизнес-процесса и утверждаться Комитетом.
Профиль рисков в ПС должен храниться риск-координаторами бизнес-процесса в бумажной форме не менее двух лет со дня его составления и (или) актуализации.
3.3. Мониторинг уровней значимых рисков должен обеспечивать выявление существенных изменений уровней остаточных рисков.
Мониторинг уровней значимых рисков должен проводиться в соответствии с приложением 2 к настоящему Положению, а также на основе следующих мероприятий.
3.3.1. По результатам мониторинга уровней значимых рисков должно обеспечиваться доведение до руководителей, указанных в пункте 2.1 настоящего Положения, и до руководителей ОПКЦ внешней платежной системы в части, относящейся к их компетенции, информации о повышении уровней остаточных рисков до и выше допустимого.
3.3.2. Дополнительные КИР должны разрабатываться с учетом следующей информации:
требований законодательства Российской Федерации, нормативных и иных актов Банка России, регламентирующих функционирование ПС;
данных последних самооценок;
сведений об инцидентах;
результатов мониторинга уровней значимых рисков;
другой информации, свидетельствующей о целесообразности разработки (отмены) дополнительных КИР.
3.3.3. Дополнительные КИР могут разрабатываться для мониторинга уровня одного значимого риска или одновременного мониторинга уровней нескольких значимых рисков. Для мониторинга уровня одного значимого риска может быть разработано несколько разных КИР.
3.4. В целях управления значимыми рисками должны использоваться следующие меры реагирования, являющиеся способами управления рисками:
осуществление расчета в ПС до конца операционного дня;
обеспечение возможности предоставления внутридневного кредита и кредита овернайт;
осуществление перевода за счет денежных средств, находящихся на счетах участников ПС, в том числе с учетом лимита внутридневного кредита и кредита овернайт, а также за счет денежных средств, объединенных в пул ликвидности;
изменение последовательности расположения распоряжений участников ПС во внутридневной очереди;
прием распоряжений на бумажном носителе и отчуждаемых машинных носителях информации.
В целях повышения эффективности управления значимыми рисками могут применяться дополнительные меры реагирования, направленные на обеспечение эффективности управления значимыми рисками с учетом того, что не должен уменьшаться суммарный положительный эффект от применения мер реагирования.
Эффект от применения дополнительной меры реагирования должен признаваться положительным, в случае если уровень воздействия от реализации значимого риска ниже уровня воздействия до применения иной меры реагирования или если вероятность реализации значимого риска ниже вероятности реализации до применения иной меры реагирования.
3.5. Оценка эффективности управления рисками в ПС и эффективности управления непрерывностью функционирования ПС должна осуществляться на ежегодной основе посредством сопоставления времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ, установленного в пункте 1.2 настоящего Положения, с фактическим временем за период с даты окончания последней плановой (полной внеплановой) самооценки.
При двукратном и более превышении установленного в пункте 1.2 настоящего Положения времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ управление значимыми рисками и управление непрерывностью функционирования ПС признается неэффективным. В иных случаях управление значимыми рисками и управление непрерывностью функционирования ПС признается эффективным.
Глава 4. Управление непрерывностью функционирования платежной системы Банка России
4.1. Управление непрерывностью функционирования ПС должно осуществляться посредством выявления сведений об инцидентах, регистрации инцидентов, оценки влияния на БФПС каждого инцидента, оценки влияния на БФПС всех инцидентов, а также применения ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов.
4.2. Выявление сведений об инцидентах должно проводиться на основании информации о нарушении надлежащего оказания УПИ, полученной от работников ПУРиН, работников ПУРиН внешней платежной системы и работников структурных подразделений Банка России.
Работники ПУРиН, работники ПУРиН внешней платежной системы должны осуществлять контроль выполнения сроков процедур приема к исполнению, определения платежных клиринговых позиций и исполнения распоряжений участников ПС в соответствии с Регламентом выполнения процедур, приведенным в приложении 1 к настоящему Положению.
4.3. Регистрация инцидентов должна осуществляться посредством сбора и обработки следующих сведений о них:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего инцидента и его негативных (неблагоприятных) последствий);
наименование взаимосвязанных последовательных технологических процедур, выполняемых при оказании УПИ, в ходе которых произошел инцидент;
наименование бизнес-процесса Банка России, на который оказал влияние инцидент;
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС;
степень влияния инцидента на функционирование ПС в зависимости от количества неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению инцидента и его негативных последствий с указанием планируемой и фактической продолжительности проведения данных мероприятий;
дата и время восстановления надлежащего оказания УПИ;
негативные (неблагоприятные) последствия инцидента, в том числе:
сумма денежных средств, уплаченных Банком России и (или) взысканных с Банка России;
сумма денежных средств, уплаченных ОПКЦ внешней платежной системы и (или) взысканных с ОПКЦ внешней платежной системы;
количество неисполненных и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, на исполнение которых оказал влияние инцидент;
продолжительность приостановления оказания УПИ.
4.4. Оценка влияния на БФПС каждого инцидента должна проводиться в течение двадцати четырех часов с момента его возникновения (выявления), а также в течение двадцати четырех часов после устранения инцидента (восстановления надлежащего оказания УПИ).
4.4.1. Инцидент должен признаваться непосредственно не влияющим на БФПС (влияющим опосредованно), в случае если не нарушен пороговый уровень индикатора продолжительности восстановления оказания УПИ (далее - КИР 1), индикатора непрерывности оказания УПИ (далее - КИР 2).
4.4.2. Инцидент должен признаваться влияющим на БФПС, в случае если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен Регламент выполнения процедур, представленный в приложении 1, при одновременном нарушении порогового уровня КИР 2;
нарушен пороговый уровень КИР 1;
превышена установленная продолжительность восстановления надлежащего оказания УПИ, определенная в пункте 1.2 настоящего Положения.
4.4.3. В случае выявления дополнительных обстоятельств в отношении инцидента, оценка влияния которого на БФПС уже завершена, должна быть проведена повторная оценка влияния произошедшего инцидента на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
4.5. Оценка влияния на БФПС всех инцидентов должна проводиться на ежемесячной основе не позднее пяти рабочих дней после дня окончания отчетного календарного месяца.
4.5.1. Инциденты, произошедшие в отчетном месяце, должны признаваться непосредственно не влияющими на БФПС (влияющими опосредованно), если расчетное значение индикатора соблюдения Регламента выполнения процедур (далее - КИР 3), и (или) индикатора доступности операционного центра (далее - КИР 4), и (или) индикатора изменения частоты инцидентов, произошедших в ПС (далее - КИР 5), нарушает пороговый уровень за отчетный месяц, за исключением случая, когда расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.2. Инциденты, произошедшие в отчетном месяце, должны признаваться влияющими на БФПС, если расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.3. В случае выявления инцидентов или дополнительных обстоятельств в отношении инцидентов, произошедших в ПС в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, должна быть инициирована повторная оценка влияния произошедших инцидентов на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
4.6. Применение ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов должно осуществляться для:
локализации и предотвращения развития негативных (неблагоприятных) последствий реализации значимого риска, в отношении которых ответные меры необходимо применять незамедлительно;
восстановления оказания УПИ в случае их приостановления;
восстановления надлежащего оказания УПИ.
Глава 5. Организация взаимодействия Банка России, операционного платежного клирингового центра внешней платежной системы и участников платежной системы Банка России по обеспечению бесперебойности ее функционирования
5.1. Банк России должен информировать участников ПС о приостановлении и восстановлении оказания УПИ в течение тридцати минут после выявления инцидента, который привел к приостановлению оказания УПИ, и после восстановления оказания УПИ посредством размещения на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - официальный сайт) следующей информации:
время приостановлении (восстановления) оказания УПИ;
причины приостановления (прекращения) оказания УПИ;
предполагаемое время восстановления оказания УПИ в случае приостановления оказания УПИ.
При отсутствии технической возможности размещения информации на официальном сайте Банк России должен информировать в течение тридцати минут после выявления инцидента, который привел к приостановлению оказания УПИ, и после восстановления оказания УПИ участников ПС с использованием одного из способов взаимодействия с клиентом, определенным комплексным договором банковского обслуживания.
5.2. Взаимодействие Банка России и ОПКЦ внешней платежной системы по обеспечению БФПС должно осуществляться с учетом следующего.
5.2.1. При осуществлении деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, взаимодействие Банка России и ОПКЦ внешней платежной системы должно осуществляться (за исключением обмена информацией об инцидентах, связанных с работой информационных систем, обеспечивающих функционирование ПС) посредством направления с использованием личного кабинета, предусмотренного статьей 35.1 Федерального закона "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2019, № 31, ст. 4423), в том числе следующей информации:
профиль рисков ОПКЦ внешней платежной системы, составленный в соответствии с приложением 7 к настоящему Положению;
дополнительные КИР, предлагаемые риск-координатором СБП внешней платежной системы для мониторинга значимых рисков ОПКЦ внешней платежной системы, представленные в соответствии с приложением 8 к настоящему Положению;
рассчитанные значения КИР 1 и КИР 2, представленные в соответствии с приложением 9 к настоящему Положению не позднее следующего рабочего дня после дня расчета КИР 1 и КИР 2;
рассчитанные на ежемесячной основе значения КИР 3, КИР 4 и КИР 5, дополнительных КИР (при их наличии), представленные в соответствии с приложением 9 к настоящему Положению не позднее третьего рабочего дня после дня окончания календарного месяца, в котором возникли инциденты;
сведения об инциденте в соответствии с требованиями пункта 4.3 настоящего Положения в течение тридцати минут после его выявления ОПКЦ внешней платежной системы.
5.2.2. При осуществлении деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, взаимодействие Банка России и ОПКЦ внешней платежной системы в части обмена информацией об инцидентах, связанных с работой информационных систем, обеспечивающих функционирование ПС, осуществляется в соответствии с договором о взаимодействии платежных систем.
Глава 6. Контроль за соблюдением операционным платежным клиринговым центром внешней платежной системы порядка обеспечения бесперебойности функционирования платежной системы Банка России
6.1. Банк России должен контролировать соблюдение ОПКЦ внешней платежной системы порядка обеспечения БФПС посредством рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП (далее - документы по БФПС внешней платежной системы) на предмет их соответствия требованиям глав 2, 3 и 4 настоящего Положения.
6.2. Риск-координатор СБП внешней платежной системы должен направлять документы по БФПС внешней платежной системы, вносимые в них изменения на рассмотрение в Банк России владельцу бизнес-процесса с приложением заключения о соответствии, содержащего следующую информацию:
наименование документа по БФПС внешней платежной системы;
обоснование необходимости внесения изменений (в случае внесения изменений);
список изменений с указанием разделов и пунктов, содержащих изменения (в случае внесения изменений);
планируемый срок вступления в силу документа по БФПС внешней платежной системы или подготовленных изменений;
вывод о соответствии документа по БФПС, изменений, вносимых в него (в случае внесения изменений), настоящему Положению;
наименование структурного подразделения ОПКЦ внешней платежной системы, разработавшего документ по БФПС внешней платежной системы или изменения.
6.3. Владелец бизнес-процесса должен в течение трех рабочих дней после дня получения документов по БФПС внешней платежной системы и заключений о соответствии направить их на рассмотрение риск-координаторам бизнес-процесса.
6.4. Риск-координаторы бизнес-процесса в течение десяти рабочих дней после дня получения документов, указанных в пункте 6.3 настоящего Положения, должны рассмотреть и подтвердить их соответствие требованиям настоящего Положения или сформировать перечень выявленных несоответствий, а также предложений по их устранению (далее - результаты рассмотрения документов по БФПС внешней платежной системы).
6.5. Риск-координаторы бизнес-процесса направляют результаты рассмотрения документов по БФПС внешней платежной системы владельцу бизнес-процесса на утверждение.
Владелец бизнес-процесса в течение трех рабочих дней после дня получения результатов рассмотрения документов по БФПС внешней платежной системы утверждает их либо направляет риск-координаторам бизнес-процесса замечания.
Риск-координаторы бизнес-процесса осуществляют пересмотр результатов рассмотрения документов по БФПС внешней платежной системы по полученным от владельца бизнес-процесса замечаниям в течение двух рабочих дней и повторно направляют их владельцу бизнес-процесса, который осуществляет их повторное рассмотрение в сроки, указанные в абзаце втором настоящего пункта.
6.6. Риск-координаторы бизнес-процесса не позднее рабочего дня, следующего за днем утверждения владельцем бизнес-процесса результатов рассмотрения документов по БФПС внешней платежной системы, направляют результаты рассмотрения риск-координатору СБП внешней платежной системы.
6.7. Риск-координатор СБП внешней платежной системы в случае выявления риск-координаторами бизнес-процесса несоответствий документов по БФПС внешней платежной системы требованиям глав 2, 3 и (или) 4 настоящего Положения должен обеспечить внесение соответствующих изменений в указанные документы согласно предложениям по их устранению и повторно направить документы по БФПС внешней платежной системы на рассмотрение в Банк России.
Глава 7. Заключительные положения
7.1. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от "23" октября 2020 года № ПСД-24) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлен иной срок вступления их в силу.
Пункты 3.3, 4.3, 4.4 и 4.5 настоящего Положения и приложение 2 к настоящему Положению вступают в силу с 1 октября 2022 года.
|
Председатель Центрального банка Российской Федерации |
Э.С. Набиуллина |
Зарегистрировано в Минюсте РФ 21 декабря 2020 г.
Регистрационный № 61663
Приложение 1
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Регламент
выполнения процедур в ПС
| № п/п | Наименование услуги платежной инфраструктуры | Наименование процедуры | Время выполнения процедур УПИ (сервис срочного перевода ПС при достаточности денежных средств), минуты | Время выполнения процедур УПИ (сервис срочного перевода ПС), минуты | Время выполнения процедур УПИ (сервис несрочного перевода ПС при достаточности денежных средств), минуты | Время выполнения процедур УПИ (сервис несрочного перевода ПС), минуты | Время выполнения процедур УПИ (СБП), секунды |
|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 1 | Операционная услуга | Передача распоряжений участников ПС (подтверждений об исполнении распоряжений участников ПС в электронном виде через транспортную систему Банка России) (ОПКЦ внешней платежной системы) | не более 2 | не более 2 | не более 2 | не более 2 | не более 20 |
| 2 | Услуга платежного клиринга | Прием к исполнению распоряжений участников ПС, включая: | не более 4 | не более 4 | не более 30 | не более 30 | не более 5 |
| процедуру удостоверения права распоряжения денежными средствами | |||||||
| контроль целостности распоряжений | |||||||
| структурный контроль распоряжений | |||||||
| контроль дублирования распоряжений | |||||||
| контроль значений реквизитов распоряжений | |||||||
| контроль лимитов | |||||||
| контроль достаточности денежных средств | |||||||
| Определение платежных клиринговых позиций - определение с учетом результатов контроля достаточности денежных средств распоряжения для исполнения на индивидуальной основе (или в период времени, установленный регламентом функционирования ПС) | |||||||
| 3 | Расчетная услуга | Исполнение распоряжений участников ПС | не более 1 | не более 24 | не более 6 | не более 24 | не более 5 |
| Подтверждение об исполнении распоряжений | |||||||
| 4 | Общее время оказания УПИ | не более 5 | не более 25 | не более 35 | не более 55 | не более 30 | |
Примечания.
1. Общим временем оказания УПИ для сервиса срочного перевода признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, включая контроль достаточности денежных средств, находящихся на банковском (корреспондентском) счете (субсчете) (на нескольких банковских (корреспондентских) счетах (субсчетах), денежные средства на которых объединены в пул ликвидности) участника ПС (далее - контроль достаточности денежных средств) (при этом отсутствует необходимость помещения распоряжения во внутридневную очередь, в очередь распоряжений, ожидающих разрешения на проведение операций, в очередь распоряжений, ожидающих проверки, очередь распоряжений, ожидающих даты исполнения, очередь не исполненных в срок распоряжений, очередь распоряжений, ожидающих акцепта, и очередь распоряжений, требующих выполнения условий перевода денежных средств) и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего пяти минут.
2. Общим временем оказания УПИ для сервиса срочного перевода признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, за исключением контроля достаточности денежных средств, и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего двадцати пяти минут без учета времени нахождения указанного распоряжения во внутридневной очереди, в очереди распоряжений, ожидающих разрешения на проведение операций, очереди распоряжений, ожидающих проверки, очереди распоряжений, ожидающих даты исполнения, очереди не исполненных в срок распоряжений, очереди распоряжений, ожидающих акцепта, и очереди распоряжений, требующих выполнения условий перевода денежных средств.
3. Общим временем оказания УПИ для сервиса несрочного перевода признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, включая контроль достаточности денежных средств, с учетом времени нахождения указанного распоряжения во внутридневной очереди до начала ближайшего несрочного рейса (при этом отсутствует необходимость помещения распоряжения в очередь распоряжений, ожидающих разрешения на проведение операций, очередь распоряжений, ожидающих проверки, очередь распоряжений, ожидающих даты исполнения, очередь не исполненных в срок распоряжений, очередь распоряжений, ожидающих акцепта, и очередь не исполненных в срок распоряжений) и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего тридцати пяти минут.
4. Общим временем оказания УПИ для сервиса несрочного перевода признается оказание УПИ при переводе денежных средств через ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, за исключением контроля достаточности денежных средств, с учетом времени нахождения указанного распоряжения во внутридневной очереди до начала ближайшего несрочного рейса, но без учета времени нахождения указанного распоряжения во внутридневной очереди по иным причинам, в очереди распоряжений, ожидающих разрешения на проведение операций, очереди распоряжений, ожидающих проверки, очереди распоряжений, ожидающих даты исполнения, очереди не исполненных в срок распоряжений, очереди распоряжений, ожидающих акцепта, и очереди не исполненных в срок распоряжений и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего пятидесяти пяти минут (максимальное время на осуществление обмена электронными сообщениями, выполнение процедур приема к исполнению и исполнение распоряжения участника ПС, в том числе на направление участнику ПС извещения о списании денежных средств).
5. Общим временем оказания УПИ для СБП признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, включая контроль достаточности денежных средств, и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего тридцати секунд.
Приложение 2
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Мониторинг уровней значимых рисков
1. В рамках мониторинга уровней значимых рисков осуществляется:
расчет КИР, дополнительных КИР;
реагирование на нарушение порогового уровня КИР;
актуализация информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования;
разработка дополнительных КИР;
отмена дополнительных КИР.
2. Для осуществления мониторинга уровней значимых рисков в ПС должны применяться в том числе следующие КИР (показатели БФПС):
индикатор продолжительности восстановления оказания УПИ (КИР 1);
индикатор непрерывности оказания УПИ (КИР 2);
индикатор соблюдения Регламента выполнения процедур (КИР 3);
индикатор доступности операционного центра (КИР 4);
индикатор изменения частоты инцидентов, произошедших в ПС (КИР 5).
2.1. КИР 1 должен рассчитываться по каждому из инцидентов как период времени с момента выявления инцидента до момента восстановления оказания УПИ (далее - момент устранения последствий инцидента).
Пороговый уровень КИР 1 равен двум часам.
В случае если значение КИР 1 превышает два часа, произошло нарушение порогового уровня КИР 1. КИР 1 рассчитывается в часах (минутах) (секундах).
При этом, если в течение дня произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность восстановления оказания УПИ определяется как разница между моментом устранения последствий последнего инцидента и моментом выявления первого инцидента из них.
2.2. КИР 2 должен рассчитываться по каждому из инцидентов как период времени между двумя последовательно произошедшими инцидентами, с момента устранения последствий первого инцидента и до момента выявления следующего инцидента.
Пороговый уровень КИР 2 равен двадцати четырем часам.
В случае если значение КИР 2 менее двадцати четырех часов, произошло нарушение порогового уровня КИР 2. КИР 2 рассчитывается в часах (минутах) (секундах).
При этом, если произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность непрерывности оказания УПИ определяется как разница между моментом выявления следующего инцидента и моментом устранения последствий последнего из пересекающихся инцидентов и.#
2.3. КИР 3 должен рассчитываться ежемесячно как отношение количества распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ без нарушения регламента выполнения процедур, указанного в приложении 1 к настоящему Положению, к общему количеству распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ, по формуле:
,
где:
N - количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ без нарушения временных интервалов, указанных в приложении 1 к настоящему Положению, в течение оцениваемого календарного месяца;
- общее количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ, в течение оцениваемого календарного месяца.
КИР 3 для сервиса срочного перевода, сервиса несрочного перевода и СБП рассчитывается индивидуально.
Пороговый уровень КИР 3 для сервиса срочного перевода и сервиса несрочного перевода равен 99,73 процента.
Пороговый уровень КИР 3 для СБП равен 99,9 процента.
В случае если значение КИР 3 менее 99,73 процента, при предоставлении сервиса срочного перевода и (или) сервиса несрочного перевода произошло нарушение порогового уровня КИР 3.
В случае если значение КИР 3 менее 99,9 процента, при предоставлении СБП произошло нарушение порогового уровня КИР 3.
2.4. КИР 4 должен рассчитываться ежемесячно как среднее значение коэффициента доступности ОПКЦ внешней платежной системы за оцениваемый календарный месяц по формуле:
,
где:
k={1...K} - k-ый рабочий день в отчетном месяце;
K - количество рабочих дней в отчетном месяце;
- коэффициент доступности услуг операционного центра (ОПКЦ внешней платежной системы) в k-ый рабочий день, рассчитываемый по формуле:
,
где:
- общая продолжительность всех приостановлений оказания операционных услуг для всех участников ПС операционным центром (ОПКЦ внешней платежной системы) в течение k-го рабочего дня, в минутах;
- общая продолжительность времени оказания операционных услуг в течение k-го рабочего дня, в минутах, в соответствии с графиком функционирования ПС, установленным нормативным актом Банка России в соответствии с частью 9 статьи 20 Федерального закона "О национальной платежной системе", в части оказания операционных услуг.
КИР 4 рассчитается отдельно для операционного центра, функции которого выполняет Банк России, и отдельно - для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы.
Пороговый уровень КИР 4 для операционного центра, функции которого выполняет Банк России, равен 99,00 процента.
В случае значение КИР 4 для операционного центра, функции которого выполняет Банк России, менее 99,00 процента, произошло нарушение порогового уровня КИР 4.
Пороговый уровень КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, равен 99,99 процента.
В случае если значение КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, менее 99,99 процента, произошло нарушение порогового уровня КИР 4.
2.5. КИР 5 должен рассчитываться ежемесячно как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, по формуле:
,
где:
- количество инцидентов в течение i-го рабочего дня ПС;
i = {1.. .М} - i-ый рабочий день в оцениваемом календарном месяце;
M - количество рабочих дней ПС в оцениваемом календарном месяце;
- количество инцидентов в течение j-го рабочего дня ПС;
j={1...N} - j-ый рабочий день 12 предыдущих календарных месяцев, включая оцениваемый календарный месяц;
N - количество рабочих дней ПС за 12 предыдущих календарных месяцев, включая оцениваемый месяц.
КИР 5 должен рассчитываться в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя следует признавать равным нулю.
Пороговый уровень КИР 5 равен 115,0 процента.
В случае если значение КИР 5 более 115,0 процента, произошло нарушение порогового уровня КИР 5.
3. В случае достижения (выполнения) расчетным значением КИР, расчетным значением дополнительного КИР (далее при совместном упоминании в целях настоящего пункта - КИР) порогового уровня КИР (далее - нарушение порогового уровня КИР):
работники ПУРиН (работники ПУРиН внешней платежной системы) должны применить меры реагирования при нарушении порогового уровня КИР;
риск-координаторы ПУРиН, работники подразделений которых применяют меры реагирования при нарушении порогового уровня КИР, в части сервиса срочного перевода и сервиса несрочного перевод должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, после согласования руководителями ПУРиН и руководителями подразделений Банка России зарегистрировать информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению;
риск-координаторы ПУРиН внешней платежной системы, работники которого применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, зарегистрировать и направить риск-координатору СБП внешней платежной системы информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению. Риск-координатор СБП внешней платежной системы должен не позднее третьего рабочего дня, следующего за датой получения информации от риск-координаторов ПУРиН внешней платежной системы, направить соответствующую информацию риск-координаторам бизнес-процесса.
4. При появлении уточненной информации о причинах нарушения порогового уровня КИР и о принятых мерах реагирования, о составе принятых мер реагирования риск-координаторы ПУРиН, осуществляющие мониторинг уровней значимых рисков согласно параметрам КИР, после согласования с руководителями ПУРиН и при необходимости с руководителями соответствующих структурных подразделений подразделений Банка России должны актуализировать соответствующую информацию не позднее пятого рабочего дня, следующего за датой появления уточненной информации.
Риск-координаторы ПУРиН внешней платежной системы подразделений, которые применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее третьего рабочего дня, следующего за датой появления в структурном подразделении ОПКЦ внешней платежной системы уточненной информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования, актуализировать соответствующую информацию и направить ее риск-координатору СБП, который не позднее третьего рабочего дня после дня получения уточненной информации от риск-координаторов ПУРиН внешней платежной системы направляет ее риск-координаторам бизнес-процесса.
5. Разработка дополнительных КИР должна осуществляться следующим образом.
5.1. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) разрабатывают дополнительные КИР в части компетенции ПУРиН (ПУРиН внешней платежной системы), осуществляя следующие мероприятия.
5.1.1. Риск-координаторы ПУРиН на основании принятого руководителем ПУРиН решения (риск-координаторы ПУРиН внешней платежной системы на основании принятого решения риск-координатором СБП внешней платежной системы) должны разрабатывать дополнительные КИР и определять их параметры в соответствии с приложением 8 к настоящему Положению.
5.1.2. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) передают параметры разработанных дополнительных КИР на согласование риск-координаторам бизнес-процесса, которые для сервиса срочного перевода и сервиса несрочного перевода предварительно согласовываются с руководителями ПУРиН и руководителями подразделений Банка России, а для СБП предварительно должны согласовываться с риск-координатором СБП внешней платежной системы.
Согласование параметров дополнительных КИР должно осуществляться риск-координаторами бизнес-процесса в течение пяти рабочих дней с даты поступления указанных параметров дополнительных КИР от риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы.
5.2. Риск-координаторы бизнес-процесса должны осуществлять оценку применимости разработанных дополнительных КИР для целей мониторинга существенных изменений уровней остаточных рисков, присущих бизнес-процессу, с привлечением риск-координаторов ПУРиН (риск-координаторов ПУРиН внешней платежной системы).
5.3. При положительном результате оценки применимости дополнительных КИР риск-координаторы бизнес-процесса должны направлять параметры дополнительных КИР на верификацию работникам УРСУР.
Работники УРСУР не позднее пятого рабочего дня, следующего за датой получения параметров КИР от риск-координаторов бизнес-процесса, должны согласовать параметры дополнительных КИР или направить по ним замечания риск-координаторам бизнес-процесса.
Повторные верификации осуществляются не позднее второго рабочего дня, следующего за датой получения от риск-координаторов бизнес-процесса уточненных параметров дополнительных КИР.
5.4. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от работников УРСУР, должны вносить уточнения в параметры дополнительных КИР и провести повторную оценку применимости дополнительных КИР, осуществляемую в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.
При положительном результате верификации риск-координаторы бизнес-процесса не позднее двух рабочих дней с даты завершения УРСУР верификации параметров дополнительных КИР должны направить владельцу бизнес-процесса предложение о параметрах дополнительных КИР.
5.5. Владелец бизнес-процесса не позднее пятого рабочего дня с даты представления предложения о параметрах дополнительных КИР должен направлять на согласование указанное предложение курирующему руководителю Банка России или вернуть его риск-координаторам бизнес-процесса с указанием замечаний (причин несогласия с указанным предложением).
5.6. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от курирующего руководителя Банка России (владельца бизнес-процесса), должны внести уточнения в параметры дополнительных КИР с последующим проведением повторной оценки применимости дополнительных КИР, осуществляемой в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.
5.7. Владелец бизнес-процесса обеспечивает рассмотрение дополнительных КИР на заседании Комитета и не позднее пятого рабочего дня, следующего за датой их утверждения Комитетом, должен обеспечивать доведение до ПУРиН, осуществляющих мониторинг уровней значимых рисков согласно параметрам дополнительных КИР, ОПКЦ внешней платежной системы информации о параметрах дополнительных КИР.
5.8. Хранение информации о КИР и их параметрах должно осуществляться с использованием специализированного программного обеспечения.
6. Отмена дополнительных КИР должна осуществляться с учетом следующего.
При согласовании курирующим руководителем Банка России отмены дополнительного КИР владелец бизнес-процесса должен обеспечивать доведение до подразделений Банка России и (или) ОПКЦ внешней платежной системы соответствующей информации не позднее пятого рабочего дня, следующего за датой согласования.
Приложение 3
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Карта
зон рисков
| Воздействие | 5 | III | III | III | III | III |
|---|---|---|---|---|---|---|
| 4 | II | II | III | III | III | |
| 3 | I | II | II | II | II | |
| 2 | I | I | I | I | II | |
| 1 | I | I | I | I | I | |
| 1 | 2 | 3 | 4 | 5 | ||
| Вероятность | ||||||
Примечания.
1. Воздействие определяется в соответствии со шкалой оценки воздействия риска, приведенной в подпункте 3.2.3 пункта 3.2 настоящего Положения, а также со шкалами оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными методикой управления операционными рисками Банка России.
2. Вероятность определяется в соответствии со шкалой, представленной в приложении 5 к настоящему Положению.
Приложение 4
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Регламент
проведения структурными подразделениями ОПКЦ внешней платежной системы самооценки
1. При первичной и последующих самооценках риск-координаторы СБП внешней платежной системы совместно с риск-координаторами ПУРиН внешней платежной системы должны до начала самооценки провести анализ актуальности стандартов ОПКЦ внешней платежной системы фактически выполняемой деятельности ОПКЦ внешней платежной системы при предоставлении СБП.
При положительном результате указанного анализа риск-координаторы СБП внешней платежной системы должны начать самооценку.
При отрицательном результате - риск-координаторы СБП внешней платежной системы должны инициировать работы по актуализации стандартов ОПКЦ внешней платежной системы и по завершению указанных работ начать самооценку.
Риск-координаторы СБП внешней платежной системы должны довести до сведения риск-координаторов бизнес-процесса информацию о сроках проведения работ по актуализации стандартов ОПКЦ внешней платежной системы.
2. Подготовка (актуализация) перечня значимых рисков должна осуществляться в срок, не превышающий двадцати рабочих дней (при повторной самооценке - не превышающий десяти рабочих дней) с даты начала самооценки.
В перечень значимых рисков по каждому значимому риску следует включать следующую основную информацию с соблюдением требований, установленных приложением 7 к настоящему Положению:
операция (шаг) бизнес-процесса, при выполнении которой (которого) возникает риск;
формулировка риска;
области реализации риска (риск-событий);
обоснование значимости риска с указанием оценки воздействия риска до применения мер реагирования, в том числе до применения мер реагирования, предусмотренных нормативными актами Банка России, определяющими правила платежной системы Банка России, или реализованных дополнительно по результатам предыдущих оценок значимых рисков (далее - присущий риск) в соответствии с подпунктом 3.2.3 пункта 3.2 настоящего Положения.
3. В рамках срока, предусмотренного пунктом 2 настоящего приложения, риск-координатор СБП внешней платежной системы должен направить перечень значимых рисков на верификацию риск-координаторам бизнес-процесса.
Риск-координаторы бизнес-процесса должны рассмотреть поступивший от риск-координатора СБП внешней платежной системы перечень значимых рисков и не позднее седьмого рабочего дня (при повторной самооценке не позднее пятого рабочего дня) направить замечания к перечню значимых рисков либо сообщить об их отсутствии.
Повторные верификации и повторные уточнения перечня значимых рисков должны осуществляться не позднее второго рабочего дня, следующего за датой поступления уточненного перечня значимых рисков на верификацию (получения замечаний от риск-координаторов бизнес-процесса).
4. Риск-координаторы бизнес-процесса направляют риск-координатору СБП внешней платежной системы перечень значимых рисков не позднее второго рабочего дня после дня его утверждения владельцем бизнес-процесса.
Риск-координатор СБП внешней платежной системы направляет перечень значимых рисков риск-координаторам ПУРиН внешней платежной системы.
5. Оценка значимых рисков и принятие решений о реагировании на остаточные риски осуществляются с учетом следующего.
5.1. Риск-координаторы ПУРиН внешней платежной системы в течение семи рабочих дней (при повторной самооценке - пяти рабочих дней), следующих за датой получения перечня значимых рисков, последовательно выполняют следующие действия по каждому значимому риску:
выявляют источники присущего риска и осуществляют оценку вероятности его реализации исходя из сложности и периодичности выполнения операций бизнес-процесса, имеющихся для их выполнения ресурсов и других факторов, свидетельствующих о вероятности реализации присущего риска;
на основе оценок вероятности реализации и воздействия присущего риска определяют уровень и зону присущего риска;
определяют применяемые меры реагирования на риск и проводят анализ охвата мерами реагирования выявленных источников риска, а также последствий реализации риска;
с учетом информации о количестве и уровне воздействия инцидентов, результатах применения КИР и применяемых мерах реагирования оценивают вероятность реализации и воздействие остаточного риска и определяют уровень и зону остаточного риска;
проводят анализ причин инцидентов, результатов сопоставления выявленных источников риска, возможных воздействий его реализации с применяемыми и разрабатываемыми мерами реагирования на риск, а также результатов применения КИР и на этой основе делают выводы о эффективности и достаточности (избыточности) применяемых мер реагирования и необходимости разработки дополнительных мер реагирования;
подготавливают предложения о реагировании на остаточный риск.
5.2. По результатам выполнения указанных в подпункте 5.1 настоящего пункта действий риск-координаторы ПУРиН внешней платежной системы заполняют профиль рисков ПУРиН внешней платежной системы, подготовленный с соблюдением требований приложения 7 к настоящему Положению, и в срок, указанный в абзаце первом настоящего пункта, направляют его риск-координатору СБП внешней платежной системы.
6. Риск-координатор СБП внешней платежной системы составляет профиль рисков ОПКЦ внешней платежной системы и направляет его владельцу бизнес-процесса, который не позднее второго рабочего дня, следующего за датой получения профиля рисков, передает его риск-координаторам бизнес-процесса.
Риск-координаторы бизнес-процесса не позднее седьмого рабочего дня, следующего за датой получения профиля рисков (при повторной самооценке - пятого рабочего дня), должны подготовить и направить риск-координатору СБП внешней платежной системы замечания или сообщить об их отсутствии.
Риск-координатор СБП внешней платежной системы устраняет замечания риск-координаторов бизнес-процесса к профилю рисков ОПКЦ внешней платежной системы и направляет профиль рисков ОПКЦ внешней платежной системы владельцу бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний.
7. Риск-координаторы бизнес-процесса включают профиль рисков ОПКЦ внешней платежной системы, полученный от риск-координатора СБП внешней платежной системы, в профиль рисков в ПС.
8. Риск-координатор СБП внешней платежной системы составляет план реализации дополнительных мер реагирования, указанных в профиле риска ОПКЦ внешней платежной системы, и не позднее десятого рабочего дня, следующего за датой получения от риск-координатора бизнес-процесса профиля рисков, направляет его владельцу бизнес-процесса.
Риск-координатор СБП внешней платежной системы на постоянной основе, но не реже одного раза в 6 календарных месяцев, направляет информацию о ходе реализации дополнительных мер реагирования владельцу бизнес-процесса.
9. Актуализация данных о значимых рисках с учетом следующего.
9.1. Актуализация данных о значимых рисках выполняется в рамках повторной самооценки (в том числе внеплановой), за исключением их дополнения сведениями о разработке и реализации дополнительных мер реагирования в соответствии с результатами последней утвержденной самооценки.
9.2. Дополнение сведениями о разработке и реализации дополнительных мер реагирования, данными о значимых рисках профиля рисков в ПС осуществляется риск-координатором СБП внешней платежной системы не позднее пятого рабочего дня, следующего за днем появления соответствующих сведений.
9.3. Риск-координаторы ПУРиН внешней платежной системы представляют не позднее второго рабочего дня, следующего за днем получения запроса от риск-координатора СБП внешней платежной системы необходимые документы и информацию для дополнения сведениями о разработке и реализации мер реагирования.
Приложение 5
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Шкала оценки вероятности реализации риска
| Вероятность | 1 - крайне маловероятно | 2- маловероятно | 3 - возможно | 4 - очень вероятно | 5 - почти точно |
|---|---|---|---|---|---|
| Частота реализации риска | Реже чем один раз в 5 лет | Один раз в 3-5 лет | Один раз в 1-3 года | Один раз в 3-11 месяцев | Один раз в 1-2 месяца |
Приложение 6
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Требования
к содержанию плана ОНиВД
1. План ОНиВД предусматривает комплекс мер, реализуемых ПУРиН во время и после реализации значимого риска, потенциально влияющего на БФПС.
2. В плане ОНиВД должны быть приведены сведения о подразделении Банка России, на которое возложены полномочия и обязанности по разработке, пересмотру и контролю исполнения плана ОНиВД.
3. В плане ОНиВД определяются:
работники, эксплуатирующие, обслуживающие и сопровождающие программно-технический комплекс (далее - ПТК) и системы телекоммуникаций (далее - СТ), автоматизированные рабочие места (далее - АРМ), системы инженерного обеспечения и жизнеобеспечения, используемые для обеспечения функционирования ПС, а также персонал, использующий информационные ресурсы автоматизированных систем (далее - АС) при выполнении должностных обязанностей;
помещения (здания), в которых размещен персонал и АРМ, расположены ПТК и СТ, используемые для обеспечения функционирования ПС;
АС с входящими в их состав информационными ресурсами, используемые для обеспечения функционирования ПС;
системы инженерного обеспечения и жизнеобеспечения, предназначенные для поддержки надлежащих условий работы персонала и среды функционирования ПТК, СТ, АРМ, используемых для обеспечения функционирования ПС (системы энергоснабжения, вентиляции и кондиционирования, водоснабжения, пожаротушения и другие системы, используемые для обеспечения функционирования ПС).
4. План ОНиВД должен содержать перечень АС, ПТК, СТ, АРМ и состав персонала для обеспечения надлежащего оказания УПИ.
5. План ОНиВД должен содержать критерии активации сценариев, а также описание процесса принятия решения об активации сценариев и выполнения сценариев в зависимости от уровня реализовавшегося значимого риска с момента выявления инцидента до момента доведения принятого решения до работников ПУРиН и (или) работников ПУРиН внешней платежной системы, наделенных полномочиями по реализации соответствующих мер.
6. Планом ОНиВД может быть предусмотрено выполнение одного сценария в отношении нескольких реализовавшихся значимых рисков.
7. План ОНиВД должен содержать схемы оповещения уполномоченными лицами ПУРиН должностных лиц, которые должны принимать участие в устранении последствий реализации значимых рисков. Состав указанных должностных лиц необходимо определять исходя из представленной в приложении 3 к настоящему Положению зоны карты рисков, присвоенной значимому риску.
При реализации рисков I зоны решение об активации соответствующего сценария плана ОНиВД принимается руководителем ПУРиН, к компетенции которого относится управление непрерывностью для данного риска.
При реализации рисков II зоны решение об активации соответствующего сценария плана ОНиВД принимается владельцем бизнес-процесса.
При реализации рисков III зоны решение об активации соответствующего сценария плана ОНиВД принимается курирующим руководителем Банка России.
При реализации рисков, последствия которых требуют перехода на оказание УПИ с использованием резервных автоматизированных систем, решение о переходе принимается Председателем Банка России.
8. В плане ОНиВД должны быть определены порядок и сроки тестирования отдельных сценариев плана ОНиВД и при необходимости плана ОНиВД в целом и пересмотра (актуализации) плана ОНиВД.
9. Условия проведения тестирования сценариев плана ОНиВД должны быть спланированы и согласованы с участниками ПС для того, чтобы исключить возможность приостановления оказания УПИ.
10. Тестирование сценариев плана ОНиВД проводится:
в форме совещания, на котором последовательно анализируются действия, предусмотренные сценарием плана ОНиВД, на предмет их осуществимости в условиях реализации инцидента, возможности своевременно их выполнить, достаточности имеющихся ресурсов для выполнения действий, доступности помещений, где должны находиться работники при выполнении сценария плана ОНиВД;
в форме непосредственного выполнения работниками действий, предусмотренных одним или несколькими сценариями плана ОНиВД, в условиях объявленного или необъявленного условного инцидента (далее - учения).
11. По результатам каждого проведенного тестирования сценария плана ОНиВД, плана ОНиВД должен быть подготовлен отчет, в котором должны быть отражены (при наличии) выявленные недостатки в сценарии (в сценариях) плана ОНиВД, плане ОНиВД и предложения по их устранению.
По результатам учений в отчете должна быть отражена также следующая информация:
соблюдались ли установленные сценарием плана ОНиВД сроки оповещения работников, задействованных в выполнении тестируемых сценариев плана ОНиВД, о возникновении инцидента и активации соответствующих сценариев плана ОНиВД;
все ли работники, задействованные в выполнении тестируемых сценариев плана ОНиВД, выполнили возложенные на них функции;
обеспечивалась ли работоспособность ПТК, СТ, АРМ, систем инженерного обеспечения и жизнеобеспечения, используемых при выполнении тестируемых сценариев плана ОНиВД, а также доступ работников, задействованных в выполнении тестируемых сценариев плана ОНиВД, к указанным системам для выполнения возложенных на них функций;
обеспечивалась ли доступность для работников, задействованных в выполнении тестируемых сценариев плана ОНиВД, помещений, используемых при выполнении тестируемых сценариев плана ОНиВД;
позволяет ли использование тестируемых сценариев плана ОНиВД обеспечить восстановление надлежащего оказания УПИ и восстановление оказания УПИ в случае приостановления их оказания в пределах установленных сроков.
12. Тестирование каждого сценария плана ОНиВД должно проводиться не реже одного раза в течение календарного года.
Приложение 7
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Профиль рисков в ПС
| № п/п | Общая информация о риске | Оценка присущего риска | Применяемые меры реагирования | Оценка остаточного риска | Решение о дальнейшей работе с риском | Дата регистрации (актуализации) | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Риск | Источники риска (причины риска) | Область реализации риска (риск-событий) | Последствия | Оценка вероятности | Оценка воздействия | Уровень риска | ||||||||||||||||
| Описание риска | Бизнес-процесс | Подразделение, возглавляемое владельцем бизнес-процесса | Владелец риска | Риск-факторы | Связанные риски | Последствия | Связанные риски | Оценка вероятности | Оценка воздействия | Уровень риска | Способ реагирования | Меры реагирования | Ответственный за реализацию мер реагирования | Установленный срок реализации мер реагирования | Фактический срок реализации мер реагирования | |||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 |
Требования к заполнению профиля рисков в ПС
1. В графе 1 должно приводиться описание значимого риска (информация о том, какое может произойти конкретное риск-событие, которое может привести к нарушению надлежащего оказания УПИ).
2. В графе 2 должен указываться бизнес-процесс с уточнением операции (шага), на которой идентифицирован значимый риск.
3. В графе 3 должно указываться подразделение Банка России, возглавляемое владельцем бизнес-процесса.
4. В графе 4 должно указываться ПУРиН, ПУРиН внешней платежной системы или коллегиальный орган, являющийся владельцем значимого риска.
5. В графе 5 должны указываться источники значимого риска с использованием структурированного перечня источников риска, используемого в Банке России. В случае если источник риска связан с системами и оборудованием, дополнительно указывается соответствующая система или оборудование, в том числе ИТ-решение.
6. В графе 6 должны указываться связанные риски (при наличии) с кратким описанием взаимосвязи. При отсутствии информации об идентифицированных ранее связанных рисках указывается бизнес-процесс (операция, шаг), которому присущ связанный риск, выполняющее его подразделение Банка России, структурное подразделение ОПКЦ внешней платежной системы, коллегиальный орган и краткое описание взаимосвязи.
7. В графе 7 должны указываться области реализации значимого риска (риск-события) с использованием структурированного перечня областей реализации рисков (риск-событий), используемого в Банке России.
8. В графе 8 должен указываться вид негативных последствий реализации значимого риска и краткое обоснование соответствующего воздействия.
9. В графе 9 должны указываться связанные риски (при наличии), реализация которых возможна вследствие реализации рассматриваемого риска. При отсутствии информации об идентифицированных ранее связанных рисках указывается бизнес-процесс (операция, шаг), которому присущ связанный риск, выполняющее его подразделение Банка России, структурное подразделение ОПКЦ внешней платежной системы, коллегиальный орган и краткое описание взаимосвязи.
10. В графе 10 должна приводиться оценка вероятности реализации присущего риска.
11. В графе 11 должна приводиться оценка воздействия присущего риска по каждому из видов негативных последствий, указанных в графе 8.
12. В графе 12 должен указываться уровень присущего риска.
13. В графе 13 должны указываться применяемые меры реагирования на значимый риск с использованием структурированного перечня мер реагирования на риски, используемого в Банке России.
14. В графе 14 должна приводиться оценка вероятности реализации остаточного риска.
15. В графе 15 должна приводиться оценка воздействия остаточного риска по каждому из видов негативных последствий, указанных в графе 8.
16. В графе 16 должен указываться уровень остаточного риска.
17. В графе 17 должно указываться принятое решение (предложение) о способе реагирования на остаточный риск и его краткое обоснование, а также должностное лицо (наименование должности, фамилия, имя, отчество (при наличии последнего), принявшее решение (подготовившее предложение).
18. В графе 18 должно приводиться краткое описание разрабатываемых, реализуемых и предлагаемых мер реагирования на остаточный риск (включая информацию о документах, в которых зафиксировано решение о мерах реагирования, и других документах, имеющих отношение к принятому решению) (при наличии).
19. В графе 19 по каждой мере реагирования, включенной в графу 18, должно указываться подразделение Банка России, структурное подразделение ОПКЦ внешней платежной системы, ответственное за реализацию меры реагирования.
20. В графах 20 и 21 по каждой мере реагирования, включенной в графу 18, должны указываться установленные (предлагаемые) и фактические сроки реализации мер реагирования. После реализации мер реагирования информация о них в рамках повторной самооценки подлежит отражению в графе 13.
21. В графе 22 должна указываться дата регистрации (актуализации) данных о значимом риске.
Приложение 8
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Параметры КИР
| № п/п | Наименование КИР | Описание КИР | Субъект, разработавший КИР | Риск (риски) | Подразделение, возглавляемое владельцем бизнес-процесса | Подразделение, осуществляющее мониторинг уровня значимого риска | Порядок определения расчетных значений КИР | Источники информации | Порядок представления информации | Периодичность мониторинга уровня значимого риска | Пороговое значение (уровень) | Вероятность риска при достижении порогового значения (уровня) | Уровень риска при достижении порогового значения (уровня) | Обоснование порогового значения (уровня) | Меры реагирования | Дата начала мониторинга уровня значимого риска | Дата согласования (отмены) КИР |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 |
Требования к заполнению параметров КИР
1. В графе 1 должно указываться краткое наименование КИР.
2. В графе 2 должно приводиться описание того, что характеризует КИР (смысловое описание КИР).
3. В графе 3 должно указываться структурное подразделение подразделения Банка России, структурное подразделение ОПКЦ внешней платежной системы, разработавшее КИР.
4. В графе 4 должен указываться значимый (значимые) риск (риски), мониторинг уровня (уровней) которого (которых) осуществляется с использованием КИР.
5. В графе 5 должно указываться структурное подразделение подразделения Банка России, возглавляемое владельцем бизнес-процесса.
6. В графе 6 должно указываться структурное подразделение подразделения Банка России, структурное подразделение ОПКЦ внешней платежной системы, осуществляющее мониторинг уровня значимого риска.
7. В графе 7 должен указываться порядок определения расчетных значений (уровней) КИР (формула, алгоритм расчета или текстовое описание порядка определения расчетных значений КИР).
8. В графе 8 должны указываться источники информации для определения расчетных значений (уровней) КИР (данные информационных систем, информация подразделений Банка России (структурных подразделений ОПКЦ внешней платежной системы).
9. В графе 9 должны указываться структурное подразделение подразделения Банка России, структурное подразделение ОПКЦ внешней платежной системы, представляющие необходимую информацию, и порядок ее представления.
10. В графе 10 должна указываться периодичность актуализации расчетных значений (уровней) КИР (в режиме реального времени, по состоянию на определенную дату (определенное время).
11. В графе 11 должно указываться пороговое значение (уровень) КИР.
12. В графе 12 должна указываться вероятность реализации значимого риска, соответствующая пороговому значению (уровню) КИР.
13. В графе 13 должны указываться уровни значимых рисков, соответствующие достижению КИР порогового значения (уровня).
14. В графе 14 должно указываться обоснование установленного порогового значения (уровня) КИР.
15. В графе 15 должна приводиться информация о планируемых мерах реагирования при достижении КИР порогового значения (уровня), в том числе о принимающих их структурных подразделениях подразделений Банка России, структурных подразделениях ОПКЦ внешней платежной системы и порядке принятия указанных мер.
16. В графе 16 должна указываться дата начала мониторинга уровня значимого риска, которая устанавливается с учетом необходимого структурным подразделениям подразделений Банка России, структурным подразделениям ОПКЦ внешней платежной системы времени для начала мониторинга уровня значимого риска и времени, необходимого для доведения до них информации об утвержденных параметрах КИР.
17. В графе 17 должна указываться дата согласования (отмены) КИР.
Приложение 9
к Положению Банка России
от 27 октября 2020 г. № 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"
Таблица
для мониторинга уровня значимого риска
| № п/п | Наименование КИР | Подразделение, осуществляющее мониторинг уровня значимого риска | Расчетное значение | Нарушение порогового значения (уровня) | Уровень значимого риска | Дата, по состоянию на которую выполнена проверка | Причина нарушения порогового значения (уровня) | Принятые меры реагирования | Подразделение, ответственное за реализацию мер реагирования | Установленный срок реализации мер реагирования | Фактический срок реализации мер реагирования |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 |
Требования к заполнению таблицы для мониторинга уровня значимого риска
1. В графе 1 должно указываться краткое наименование КИР.
2. В графе 2 должно указываться структурное подразделение подразделения Банка России, структурное подразделение ОПКЦ внешней платежной системы, осуществляющее мониторинг уровня значимого риска.
3. В графе 3 должно указываться расчетное значение КИР.
4. В графе 4 должна приводиться информация о нарушении КИР порогового значения (уровня).
5. В графе 5 должен указываться уровень значимого риска, соответствующий расчетному значению КИР.
6. В графе 6 должна указываться дата, по состоянию на которую выполнена проверка на предмет нарушения КИР порогового значения (уровня).
7. В графе 7 должны указываться причины нарушения КИР порогового значения (уровня), а также документы (при наличии), имеющие отношение к нарушению КИР порогового значения (уровня).
8. В графе 8 должны быть описаны принятые меры реагирования при нарушении КИР порогового значения (уровня), в том числе документы (при наличии), которыми они зафиксированы (оформлены, установлены).
9. В графе 9 должно указываться структурное подразделение подразделения Банка России, структурное подразделение ОПКЦ внешней платежной системы, должностное лицо или коллегиальный орган, ответственные за реализацию мер реагирования.
10. В графах 10 и 11 должны указываться установленный и фактический сроки реализации мер реагирования.
Обзор документа
Установлены правила обеспечения бесперебойности функционирования платежной системы ЦБ, которыми оговорены:
- организационная структура, используемая ЦБ при обеспечении бесперебойности функционирования системы;
- управление рисками в системе;
- управление непрерывностью функционирования системы;
- организация взаимодействия ЦБ, операционного платежного клирингового центра внешней системы и участников системы по обеспечению бесперебойности ее функционирования;
- контроль за соблюдением указанным центром правил обеспечения бесперебойности функционирования системы.
Положение вступает в силу по истечении 10 дней после опубликования, за исключением некоторых положений, для которых установлен иной срок.
