3.1. Управление рисками в ПС выполняется посредством идентификации значимых рисков, проведения оценки указанных рисков и мер реагирования (далее при совместном упоминании - самооценка), принятия решений о реагировании на значимые риски после применения существующих мер реагирования (далее - остаточный риск) и мониторинга КИР.
3.2. Самооценка выполняется с применением методик анализа рисков, включающих порядок управления операционными рисками Банка России и следующие мероприятия.
3.2.1. Для идентификации значимых рисков последовательно применяются следующие способы с последующим сопоставлением их результатов:
"снизу вверх" - способ, при котором значимые риски идентифицируются риск-координаторами бизнес-процесса совместно с руководителями ПУРиН, риск-координаторами ПУРиН и отдельными работниками структурных подразделений Банка России, обладающими необходимым профессиональным опытом и знаниями о бизнес-процессе;
"сверху вниз" - способ, при котором значимые риски идентифицируются владельцем бизнес-процесса.
3.2.2. Для обеспечения эффективного управления значимыми рисками, в том числе выявления системных проблем, идентификации подлежат как значимые риски в рамках одного бизнес-процесса, так и значимые риски в рамках нескольких бизнес-процессах Банка России, реализация которых является источником рисков (риск-фактором) бизнес-процесса (далее - связанные риски).
3.2.3. Для определения уровня значимого риска осуществляется оценка значимого риска с использованием критериев оценки воздействия риска и оценки вероятности реализации риска, установленных в Банке России, с учетом следующего:
очень сильное воздействие - недостижение целей, невыполнение (ненадлежащее выполнение) функций, вследствие которого оцениваемое время восстановления оказания УПИ превысит 4 часа в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ превысит 48 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
сильное воздействие - задержки, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 4 часов в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 48 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
среднее воздействие - нарушения, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 2 часов в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 36 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
низкое воздействие - перебои, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 1 часа в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 12 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
незначительное воздействие - перебои, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 0,5 часа в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 6 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение).
3.2.4. Для принятия решения о реагировании на остаточные риски используются критерии реагирования на значимые риски, установленные в Банке России.
3.2.5. Для выполнения самооценки используется следующая информация:
экспертные мнения работников Банка России, основанные на их профессиональном опыте и знаниях о бизнес-процессе;
результаты анализа эффективности управления значимыми рисками и эффективности управления непрерывностью функционирования ПС;
сведения (данные) об инцидентах;
результаты независимой оценки СУР и иных процедур внутреннего аудита, проведенных Службой главного аудитора Банка России;
результаты мероприятий, проведенных внешними контролирующими органами.
При проведении самооценки возможно использование иной информации о ПС, любой комбинации вышеуказанных источников информации о ПС.
3.2.6. Выполнение самооценки начинается в сроки, установленные нормативными актами Банка России (далее - плановая самооценка), или по решению владельца бизнес-процесса (далее - внеплановая самооценка).
3.2.7. Внеплановая полная самооценка выполняется в отношении всех значимых рисков в случаях, требующих оперативного пересмотра единого профиля рисков в ПС, уровней значимых рисков и мер реагирования, в том числе при существенных изменениях в бизнес-процессе и (или) во внешней и внутренней среде, а также в случае возникновения инцидента, для которого не предусмотрено описание значимого риска в едином профиле рисков в ПС и реализация которого привела к приостановлению оказания УПИ. О принятом решении о проведении внеплановой полной самооценки владелец бизнес-процесса информирует работников УРСУР не позднее рабочего дня, следующего за датой ее начала.
3.2.8. Внеплановая частичная самооценка выполняется в отношении отдельных значимых рисков в случаях, требующих оперативного пересмотра отдельных значимых рисков, в том числе когда результаты мониторинга КИР свидетельствуют о более высоком уровне риска по сравнению с данными последней самооценки, о неэффективности (недостаточности) применяемых мер реагирования или о наличии значимых рисков, которые в ходе последней самооценки не были идентифицированы как значимые.
3.2.9. Владелец бизнес-процесса принимает решения о проведении внеплановой полной самооценки (внеплановой частичной самооценки) в случаях, указанных в подпунктах 3.2.7 и 3.2.8 настоящего пункта. Внеплановая полная или частичная самооценка проводится в срок, не превышающий 6 месяцев со дня принятия соответствующего решения владельцем бизнес-процесса.
3.2.10. По результатам проведенной самооценки (как плановой, так и внеплановой) риск-координаторами ПУРиН заполняется единый профиль рисков в ПС в части своей компетенции, а риск-координаторами бизнес-процесса составляется единый профиль рисков в ПС в соответствии с приложением 2 к настоящему Положению и с использованием таксономий в порядке, устанавливаемом в Банке России.
Единый профиль рисков в ПС, а также допустимые (приемлемые) уровни значимых рисков согласовываются владельцем бизнес-процесса и утверждаются Комитетом.
Единый профиль рисков в ПС хранится не менее чем 2 года со дня его составления и (или) пересмотра (актуализации).
КонсультантПлюс: примечание.
П. 3.3 вступает в силу с 01.01.2021.
3.3. Мониторинг и анализ значимых рисков, в том числе в режиме реального времени (далее - мониторинг значимых рисков), направлены на выявление существенных изменений уровней остаточных рисков, в том числе с применением специализированного программного обеспечения.
Мониторинг значимых рисков проводится в соответствии с приложением 1 к настоящему Положению, а также на основе следующих мероприятий.
3.3.1. Мониторинг КИР направлен на раннее предупреждение руководителей всех уровней в Банке России в части, относящейся к их компетенции, о повышении уровней остаточных рисков до и выше допустимого (приемлемого).
3.3.2. Дополнительные КИР согласовываются курирующим руководителем Банка России, в том числе на основании предложений риск-координаторов ПУРиН, риск-координаторов бизнес-процесса, владельца бизнес-процесса, работников УРСУР и других заинтересованных структурных подразделений Банка России, а также следующей информации:
требований законодательства Российской Федерации, нормативных и иных актов Банка России, регламентирующих функционирование ПС;
сведений (данных) об инцидентах;
другой информации, свидетельствующей о целесообразности (необходимости) разработки (отмены) КИР.
3.3.3. КИР могут быть разработаны для мониторинга уровня одного значимого риска или одновременного мониторинга уровней нескольких значимых рисков. Для мониторинга уровня одного значимого риска может быть разработано несколько КИР.
3.3.4. Перечень дополнительных КИР, а также их пороговые значения (одновременно являющиеся пороговыми уровнями) утверждается Комитетом.
3.4. В целях управления значимыми рисками используются следующие меры реагирования, являющиеся также способами управления рисками:
осуществление расчета в ПС до конца операционного дня;
осуществление перевода за счет денежных средств, находящихся на счетах участников ПС, в том числе с учетом лимита внутридневного кредита и кредита овернайт, а также за счет денежных средств, объединенных в пул ликвидности;
изменение последовательности расположения распоряжений участников ПС во внутридневной очереди;
обеспечение возможности предоставления внутридневного кредита и кредита овернайт.
Риск-координаторы бизнес-процесса, риск-координаторы ПУРиН могут применять дополнительные меры реагирования, направленные на обеспечение эффективности управления значимыми рисками, с учетом следующего:
применение новой меры реагирования не должно уменьшать положительный эффект от применения ранее используемых мер реагирования;
положительный эффект от вновь применяемой меры реагирования не должен быть меньше положительного эффекта от последовательного или одновременного применения вновь применяемой и ранее использованных мер реагирования;
положительный эффект от применения одной или нескольких мер реагирования, направленных на обеспечение эффективности управления значимыми рисками, должен быть соразмерен затратам на реализацию указанных мер с учетом риск-аппетита Банка России.
Эффект от применения меры реагирования признается положительным в случае, если уровень воздействия от реализации значимого риска ниже уровня воздействия до применения рассматриваемой меры реагирования или если вероятность реализации значимого риска ниже вероятности реализации до применения рассматриваемой меры реагирования.
3.5. При управлении значимыми рисками должны быть осуществлены в том числе следующие мероприятия.
3.5.1. Взаимодействие владельца бизнес-процесса и участников ПС в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев, осуществляется в соответствии с требованиями нормативных актов Банка России, определяющими правила ПС, а также положениями договоров банковского (корреспондентского) счета (субсчета) и договоров об обмене электронными сообщениями при переводе денежных средств через ПС.
3.5.2. Изменения операционных и технологических средств и процедур, обеспечивающих функционирование ПС, осуществляются в соответствии с нормативными и иными актами Банка России.
3.5.3. Оценка качества функционирования операционных и технологических средств ПС, информационных систем, используемых для обеспечения функционирования ПС, осуществляется Банком России в соответствии с нормативными и иными актами Банка России, определяющими проведение внутреннего контроля.
3.6. Оценка эффективности управления значимыми рисками и эффективности управления непрерывностью функционирования ПС осуществляется посредством сопоставления времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ, установленного в пункте 1.2 настоящего Положения, с фактическим временем за период с даты окончания последней плановой (полной внеплановой) самооценки.
При двукратном и более превышении установленного в пункте 1.2 настоящего Положения времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ управление значимыми рисками и управление непрерывностью функционирования ПС признаются неэффективными. В иных случаях управление значимыми рисками и управление непрерывностью функционирования ПС признаются эффективными.
При признании управления значимыми рисками и управления непрерывностью функционирования ПС неэффективными подготавливаются меры, направленные на повышение эффективности и на совершенствование бизнес-процесса.
При оценке эффективности управления значимыми рисками и эффективности управления непрерывностью функционирования ПС могут быть использованы иные критерии сопоставления, отличные от времени восстановления оказания УПИ в случае приостановления их оказания и времени восстановления надлежащего оказания УПИ.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей