Проект Положения Банка России “О требованиях к управлению операционным риском организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев” (по состоянию на 18.05.2023)

Настоящее Положение на основании части 1 статьи 15, пункта 12 части 1 статьи 25 Федерального закона от 21 ноября 2011 года N 325-ФЗ "Об организованных торгах", пунктов 10, 11 и 12 части 1 статьи 25 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", пункта 1 статьи 32 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" и пункта 5 статьи 15.7 Федерального закона от 22 апреля 1996 года N 39-ФЗ "О рынке ценных бумаг" устанавливает требования к управлению операционным риском организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев.

Глава 1. Общие положения

1.1. Организатор торговли, клиринговая организация, центральный контрагент, центральный депозитарий и репозитарий (далее при совместном упоминании - финансовая организация) в рамках управления рисками должны осуществлять управление риском нарушения лицензируемой деятельности финансовой организации (деятельности, осуществляемой в соответствии с присвоенным статусом) (далее - лицензируемая деятельность), деятельности ее контрагентов и (или) ее клиентов, в результате несовершенства или ошибочных внутренних процессов финансовой организации и (или) действий или бездействия работников финансовой организации и иных лиц, сбоев и (или) ошибок в функционировании программно-технических средств финансовой организации, а также в результате внешних событий, оказывающих негативное воздействие на финансовую организацию (далее - операционный риск), в соответствии с настоящим Положением.

1.2. Финансовая организация в целях управления операционным риском должна на непрерывной основе осуществлять выявление событий, оказывающих негативное воздействие на осуществление лицензируемой деятельности и (или) способных оказать негативное воздействие на осуществление деятельности финансовой организации, деятельности ее контрагентов и (или) ее клиентов, в связи с реализацией операционного риска (далее - событие операционного риска).

1.3. Финансовая организация должна осуществлять сбор и регистрацию информации обо всех событиях операционного риска в базе данных событий операционного риска (далее - База событий) в соответствии с пунктом 2.3 настоящего Положения.

1.4. Финансовая организация в целях управления операционным риском должна определить перечень процессов, отрицательное (негативное) воздействие событий операционного риска на которые и (или) приостановление которых вследствие реализации событий операционного риска влечёт существенное нарушение осуществления лицензируемой деятельности финансовой организации, деятельности ее контрагентов и (или) ее клиентов (далее - критически важный процесс), а также проводить регулярный (не реже одного раза в год) анализ необходимости пересмотра перечня критически важных процессов и критериев существенности нарушений лицензируемой деятельности финансовой организации, деятельности ее контрагентов и (или) ее клиентов в целях признания процессов финансовой организации критически важными.

1.5. Финансовая организация в рамках управления операционным риском должна обеспечить регулярное (не реже одного раза в год) проведение структурными подразделениями финансовой организации самостоятельной оценки осуществляемой ими деятельности с целью выявления операционного риска (далее - самооценка) в соответствии с требованиями, установленными подпунктом 2.1.6 пункта 2.1 настоящего Положения.

Глава 2. Требования к управлению операционным риском

2.1. Финансовая организация в рамках управления операционным риском должна обеспечить реализацию следующих мер.

2.1.1. Определение перечня программно-технических средств, сбои и (или) ошибки в функционировании которых влекут за собой приостановление критически важных процессов финансовой организации и (или) оказывают иное неблагоприятное воздействие на критически важные процессы финансовой организации (далее - программно-технические средства).

2.1.2. Осуществление идентификации угроз, которые могут привести к неработоспособности программно-технических средств, а также постоянного мониторинга текущего состояния программно-технических средств финансовой организации на предмет необходимости их обновления.

2.1.3. Проведение испытательных работ программно-технических средств финансовой организации при их введении в эксплуатацию или обновлении с учетом возможного изменения объемов проводимых операций и устранение недостатков, выявленных в работе программно-технических средств, по итогам испытательных работ.

2.1.4. Реализация мер по замене или улучшению (обновлению) программно-технических средств, в том числе в случае выхода их из строя и (или) выявления их несоответствия характеру и объему совершаемых финансовой организацией операций.

2.1.5. Осуществление контроля прав доступа работников к программно-техническим средствам.

2.1.6. Проведение структурными подразделениями финансовой организации самооценки и оформление отчета по итогам проведения самооценки, содержащего информацию об операционном риске, возникающем в деятельности структурного подразделения финансовой организации, с учетом следующих требований:

самооценка проводится финансовой организацией в виде анкетирования сотрудников структурных подразделений финансовой организации и (или) при помощи иных методов, в случае принятия финансовой организацией решения о применении иных методов проведения самооценки;

самооценка должна включать в себя оценку: выявляемого операционного риска; критически важных процессов финансовой организации на предмет подверженности операционному риску; эффективности форм (способов) управления операционным риском; уровня возможных потерь при реализации операционного риска.

Подготовка отчета по итогам проведенной самооценки осуществляется руководителем структурного подразделения, проводившего самооценку, и направляется должностному лицу (отдельному структурному подразделению), ответственному за управление рисками финансовой организации.

2.1.7. Определение и реализация мер по выявлению операционного риска, обусловленного взаимодействием финансовой организации с ее контрагентами и (или) клиентами, в том числе с иными организациями финансового рынка и (или) поставщиками услуг, а также мер, направленных на снижение или устранение возможного негативного влияния операционного риска при совмещении деятельности финансовой организации с иной лицензируемой деятельностью, в случае его реализации.

2.1.8. Определение и реализация мер по идентификации операционного риска, обусловленного передачей отдельных функций, связанных с осуществлением лицензируемой деятельности финансовой организации, третьему лицу, в случае такой передачи.

2.2. Финансовая организация в рамках управления операционным риском должна принимать меры, направленные на обеспечение условий для бесперебойного функционирования программно-технических средств, а также для восстановления осуществляемой лицензируемой деятельности финансовой организации в случае реализации событий операционного риска, включающую в себя следующие меры.

2.2.1. Определение перечня критически важных процессов, с указанием допустимого времени их восстановления в случае приостановления.

2.2.2. Обеспечение контроля за бесперебойным функционированием программно-технических средств.

2.2.3. Распределение ответственности и полномочий между структурными подразделениями финансовой организации в случае реализации события операционного риска.

2.2.4. Определение перечня потенциальных чрезвычайных ситуаций.

2.2.5. Регистрация событий операционного риска, обусловленных чрезвычайной ситуацией, в Базе событий и проведение анализа обстоятельств возникновения чрезвычайных ситуаций.

2.2.6. Организация функционирования резервного комплекса, функционально дублирующего основной комплекс программно-технических средств финансовой организации (далее - резервный комплекс), удовлетворяющего следующим требованиям:

расположение резервного комплекса в отдельном здании (вне основного комплекса программно-технических средств);

территориальное удаление резервного комплекса от основного комплекса программно-технических средств на расстояние, обеспечивающее возможность работников финансовой организации возобновить критически важные процессы финансовой организации в резервном комплексе в течение двух часов с момента возникновения чрезвычайной ситуации;

проведение мероприятий по поддержанию резервного офиса в состоянии, обеспечивающем возможность переключения на него критически важных процессов финансовой организации в случае невозможности осуществления критически важных процессов финансовой организации с использованием основного комплекса программно-технических средств.

В случае принятия финансовой организацией соответствующего решения, резервный комплекс располагается на нескольких объектах, соответствующих требованиям, предъявляемым настоящим пунктом к резервному комплексу.

2.2.7. Осуществление ежедневного резервного копирования информации, связанной с осуществлением лицензируемой деятельности финансовой организации, в случае изменений по сравнению с предыдущим резервным копированием.

2.2.8. Проверка наличия и техническое обслуживание генераторов электричества в основном и резервном комплексе программно-технических средств финансовой организации, обеспечивающих осуществление ее критически важных процессов.

2.2.9. Мероприятия, обеспечивающие возможность оказания услуг, необходимых для функционирования программно-технических средств основного и резервного комплекса как минимум двумя независимыми поставщиками телекоммуникационных услуг.

2.2.10. Оснащение и поддержание резервного комплекса на уровне, обеспечивающем возможность функционирования всех критически важных процессов в течение не менее одного месяца со дня возникновения чрезвычайной ситуации.

2.3. Финансовая организация при выявлении события операционного риска регистрирует информацию о нем в Базе событий, с учетом положений настоящего пункта.

2.3.1. При регистрации событий операционного риска в Базе событий должна указываться степень их влияния на процессы финансовой организации:

события, влекущие за собой приостановление осуществления критически важных процессов финансовой организации, включая чрезвычайные ситуации, а также иные события операционного риска, соответствующие критериям существенности события операционного риска, установленным соответствующим решением финансовой организации (далее - существенные события операционного риска);

события, не относящиеся к существенным событиям операционного риска, но, оказывающие прямое негативное влияние на осуществление лицензируемой деятельности финансовой организации, в том числе на осуществление критически важных процессов, а также события, оказывающие негативное влияние на осуществление деятельности контрагентов и (или) клиентов финансовой организации (далее - значимые события операционного риска);

события, не являющиеся существенными или значимыми событиями операционного риска (далее - иные события операционного риска).

2.3.2. Ведение Базы событий должно осуществляться финансовой организацией по следующим источникам операционного риска:

недостатки внутренних процессов финансовой организации, несоответствие указанных процессов объему и характеру осуществляемой лицензируемой деятельности;

недостатки, связанные с действиями работников финансовой организации (непреднамеренные ошибки, умышленные действия или бездействие);

отказы и (или) нарушения функционирования применяемых финансовой организацией программно-технических средств, иных систем, оборудования и (или) несоответствие их функциональных возможностей и характеристик потребностям финансовой организации;

воздействие внешних причин на лицензируемую деятельность финансовой организации, включая действия третьих лиц, в том числе действия суда и исполнительных органов государственной власти, Банка России, других организаций, а также иные воздействия внешнего характера.

2.3.3. База событий финансовой организации должна содержать следующую информацию:

фамилия, имя, отчество (при наличии), должность ответственного работника, внесшего запись о событии операционного риска;

уникальный порядковый идентификационный номер события операционного риска;

дату, когда событие операционного риска было зарегистрировано в Базе событий (дата регистрации);

время регистрации события операционного риска в Базе событий (время регистрации);

дату, когда произошло (началось) событие операционного риска (дата реализации);

дату (и время в случае, если характер события операционного риска это предусматривает), когда финансовой организации стало известно о событии операционного риска (дата выявления);

структурное подразделение, в котором произошло событие операционного риска;

структурное подразделение, выявившее событие операционного риска;

источник события операционного риска (в соответствии с подпунктом 2.3.2 настоящего Положения);

описание события операционного риска;

оценка события операционного риска в зависимости от степени его влияния на процессы финансовой организации;

связь с другими видами риска (правовым, стратегическим, риском потери деловой репутации и другими) при наличии такой связи;

уникальный порядковый идентификационный номер связанного события операционного риска в случае, если такая связь установлена;

направление деятельности;

влияние события на критически важные процессы финансовой организации (в случае, если выявленное событие влияет на критически важные процессы финансовой организации);

элемент программно-технических средств (в случае, если программно-технические средства подверглись воздействию последствий события операционного риска или послужили причиной возникновения события операционного риска);

меры, направленные на устранение последствий события операционного риска;

меры, направленные на недопущение повторной реализации события операционного риска;

прямые потери вследствие реализации события операционного риска (в случае, если событие операционного риска привело к возникновению прямых потерь финансовой организации).

2.3.4. Финансовая организация должна ежемесячно представлять выписку из Базы событий в Банк России в соответствии с порядком взаимодействия Банка России с некредитными финансовыми организациями, определенным на основании частей 1 и 8 статьи 76.9 Федерального закона "О Центральном банке Российской Федерации (Банке России)" (далее - Порядок взаимодействия с Банком России) не позднее десяти рабочих дней после окончания календарного месяца.

2.4. Финансовая организация должна разработать систему показателей операционного риска финансовой организации, характеризующих эффективность управления операционным риском финансовой организации, в том числе бесперебойность ее деятельности, и позволяющих отслеживать изменения определенных финансовой организацией показателей в целях принятия мер по поддержанию операционного риска на определенном финансовой организацией уровне, и осуществление контроля соблюдения финансовой организацией показателей операционного риска. Финансовая организация должна определять значения показателя, при достижении которого каждый рабочий день проводится его мониторинг и реализация мер, направленных на устранение превышения фактического значения показателя над его определенным значением (далее - сигнальное значение), а также значение показателя, при нарушении которого информация доводится до исполнительного органа финансовой организации в целях принятия мер реагирования (далее - контрольное значение). Финансовая организация должна обеспечить проведение регулярного (не реже одного раза в три месяца) анализа показателей операционного риска, включая сигнальное и контрольное значение уровня операционного риска, и актуализировать их.

Глава 3. Заключительные положения

3.1. Положения пункта 1.5, подпунктов 2.1.3 и 2.1.6 пункта 2.1, подпунктов 2.2.6 - 2.2.10 пункта 2.2 и пункта 2.4 настоящего Положения не распространяются на организаторов торговли, осуществляющих деятельность на основании лицензии торговой системы, и оказывающих услуги исключительно по проведению организованных торгов на товарном рынке, совокупный годовой объем торгов на которых во всех торговых секциях на последний рабочий день каждого квартала не превышает 50 миллиардов рублей.

3.2. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ _____ 20__ года N ПСД-__) вступает в силу с 1 октября 2024 года.

Пояснительная записка
к проекту Положения Банка России "О требованиях к управлению операционным риском организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев"

Банк России разработал проект положения Банка России "О требованиях к управлению операционным риском организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев" (далее - Проект).

Подготовка Проекта осуществляется в целях издания единого акта в сфере регулирования операционного риска инфраструктурных организаций финансового рынка, устанавливающего единый понятийный аппарат и идентичные требования к процедурам, связанным с управлением операционным риском, и исключающего расхождения в определении подходов к управлению операционным риском в различных инфраструктурных организациях.

Проектом вносятся изменения в операционную деятельность и бизнес-процессы организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев.

Предлагаемый срок вступления проекта в силу - 1 октября 2024 года.

В целях обеспечения возможности проведения оценки регулирующего воздействия замечания и предложения по Проекту принимаются с 18 мая 2023 года по 31 мая 2023 года включительно по адресу электронной почты: bykovpv@cbr.ru.

Ответственным структурным подразделением Банка России за проведение оценки регулирующего воздействия является Департамент инфраструктуры финансового рынка.