3.1. Управление рисками в ПС должно осуществляться посредством поддержания в актуальном состоянии описания бизнес-процесса и стандартов ОПКЦ внешней платежной системы, подготовки и актуализации перечня значимых рисков, идентификации значимых рисков, проведения оценки значимых рисков и действующих мер реагирования, принятия решения о реагировании на значимые риски после применения действующих мер реагирования (далее - остаточный риск), утверждения профиля рисков в ПС, актуализации данных о значимых рисках (далее при совместном упоминании - самооценка), а также мониторинга уровней значимых рисков.
3.2. Самооценка должна выполняться подразделениями Банка России в соответствии с методикой управления операционными рисками Банка России, структурными подразделениями ОПКЦ внешней платежной системы - в соответствии с приложением 4 к настоящему Положению и следующими мероприятиями (далее при совместном упоминании - методики анализа рисков).
3.2.1. Идентификация значимых рисков должна осуществляться не реже одного раза в год с последовательным применением следующих способов и сопоставлением полученных результатов:
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
"снизу вверх" - способ, при котором значимые риски должны идентифицироваться риск-координаторами бизнес-процесса совместно с руководителями ПУРиН, риск-координаторами ПУРиН и работниками структурных подразделений Банка России, обладающими необходимым профессиональным опытом и знаниями о бизнес-процессе, риск-координатором СБП внешней платежной системы совместно с риск-координаторами ПУРиН внешней платежной системы;
"сверху вниз" - способ, при котором значимые риски должны идентифицироваться владельцем бизнес-процесса.
3.2.2. Для выявления системных проблем идентификации должны подлежать как значимые риски в рамках одного бизнес-процесса, так и значимые риски в рамках нескольких бизнес-процессов, реализация которых является источником рисков бизнес-процесса (далее - связанные риски).
(пп. 3.2.2 в ред. Указания Банка России от 22.09.2022 N 6254-У)
(см. текст в предыдущей редакции)
3.2.3. Для определения уровня значимого риска в ПС должна осуществляться оценка значимого риска с использованием шкалы оценки вероятности реализации риска, приведенной в приложении 5 к настоящему Положению, и следующей шкалы оценки воздействия риска.
3.2.3.1. Очень сильное воздействие - недостижение целей, невыполнение (ненадлежащее выполнение) функций Банка России в части оказания УПИ при выполнении хотя бы одного условия:
непоступление в рамках операционного дня в течение периода времени, превышающего два часа, в ПС ни одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 75 процентов от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
доля недополученных распоряжений в СБП превысила 10 процентов от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля распоряжений, исполненных с использованием СБП более чем за тридцать секунд, до момента восстановления надлежащего оказания УПИ превысила 10 процентов от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.3.2. Сильное воздействие - задержки в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
непоступление в рамках операционного дня в течение периода времени от одного часа до двух часов (включительно) в ПС ни одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 50 процентов, но меньше 75 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
доля недополученных распоряжений в СБП превысила 5 процентов от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля распоряжений, исполненных с использованием СБП более чем за тридцать секунд, до момента восстановления надлежащего оказания УПИ превысила 5 процентов от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.3.3. Среднее воздействие - нарушения в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
непоступление в рамках операционного дня в течение периода времени от тридцати минут до одного часа (включительно) в ПС ни одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 25 процентов, но меньше 50 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
доля недополученных распоряжений в СБП превысила 1 процент от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля распоряжений, исполненных с использованием СБП более чем за тридцать секунд, до момента восстановления надлежащего оказания УПИ превысила 1 процент от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.3.4. Низкое воздействие - перебои в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
непоступление в рамках операционного дня в течение периода времени от пятнадцати минут до тридцати минут (включительно) в ПС ни одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 10 процентов, но меньше 25 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;
доля недополученных распоряжений в СБП превысила 0,5 процента от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля распоряжений, исполненных с использованием СБП более чем за тридцать секунд, до момента восстановления надлежащего оказания УПИ превысила 0,5 процента от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.3.5. Незначительное воздействие - перебои в осуществлении отдельных процедур при выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:
доля количества распоряжений, поступивших от одного участника ПС и исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 2 процента от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от указанного участника ПС за предыдущий календарный месяц;
доля количества распоряжений, поступивших от двух и более участников ПС и исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 5 процентов от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от указанных участников ПС за предыдущий календарный месяц;
доля недополученных распоряжений в СБП превысила 0,1 процента от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
доля распоряжений, исполненных с использованием СБП более чем за тридцать секунд, до момента восстановления надлежащего оказания УПИ превысила 0,1 процента от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.3.6. Расчет недополученных распоряжений в СБП должен осуществляться ОПКЦ внешней платежной системы по формуле:
Pj - количество распоряжений, ожидаемых для исполнения в СБП в j-й минуте. Рассчитывается на основании средних значений в аналогичном j-й минуте периоде времени за последний месяц;
Cj - количество исполненных распоряжений в СБП в j-й минуте;
M - продолжительность негативных (неблагоприятных) последствий инцидента или оценка продолжительности воздействия риска, в минутах.
(пп. 3.2.3.6 введен Указанием Банка России от 09.01.2024 N 6653-У)
3.2.3.7. Шкала оценки воздействия риска, предусмотренная в подпункте 3.2.3 настоящего пункта, также применяется в целях оценки негативных (неблагоприятных) последствий инцидента.
(пп. 3.2.3.7 введен Указанием Банка России от 09.01.2024 N 6653-У)
3.2.4. Решение о применении мер реагирования по выявленным рискам должно приниматься в зависимости от расположения рисков на карте рисков, предусмотренной в приложении 3 к настоящему Положению.
Для рисков, расположенных в I зоне карты рисков, решение о применении мер реагирования должно приниматься на уровне руководителя ПУРиН, во II зоне - на уровне владельца бизнес-процесса, в III зоне - на уровне курирующего руководителя Банка России.
3.2.5. Проведение самооценки должно осуществляться с использованием в том числе следующей информации:
сведений, представленных работниками Банка России и работниками ОПКЦ внешней платежной системы;
результатов мониторинга уровней значимых рисков;
абзац утратил силу. - Указание Банка России от 22.09.2022 N 6254-У;
(см. текст в предыдущей редакции)
результатов оценки СУР, проведенной Службой главного аудитора Банка России, и результатов оценки системы управления рисками ОПКЦ внешней платежной системы, проведенной подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы;
результатов оценки СУР, в том числе методики анализа рисков, проведенной Комитетом;
результатов мероприятий, проведенных органами государственного контроля (надзора).
3.2.6. План ОНиВД как мера реагирования должен разрабатываться в соответствии с требованиями, приведенными в приложении 6 к настоящему Положению, а также с учетом следующего:
сценарии, включенные в план ОНиВД, должны разрабатываться в отношении значимых операционных рисков, для которых в качестве мер реагирования предусматривается разработка плана ОНиВД;
план ОНиВД должен состоять из сценариев, каждый из которых регламентирует деятельность ПУРиН, подразделений Банка России, обеспечивающих функционирование ПС, или подразделения, руководителем которого является владелец бизнес-процесса, в пределах их компетенции при обеспечении надлежащего оказания УПИ.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.7. Самооценка должна проводиться в сроки, установленные организационно-распорядительным документом Банка России (далее - плановая самооценка), или по решению владельца бизнес-процесса (далее - внеплановая самооценка).
(пп. 3.2.7 в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.8. Внеплановая полная самооценка должна проводиться в отношении всех значимых рисков при внесении изменений в бизнес-процесс по решению владельца бизнес-процесса и должна быть завершена не позднее истечения 6 месяцев со дня принятия указанного решения.
(пп. 3.2.8 в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.9. Внеплановая частичная самооценка отдельных значимых рисков (отдельного значимого риска) должна проводиться по решению владельца бизнес-процесса и должна быть завершена не позднее истечения 4 месяцев со дня:
возникновения события, реализация которого привела к приостановлению (прекращению) оказания УПИ и описание которого в профиле рисков не предусмотрено либо негативные последствия от реализации которого превышают негативные последствия, предусмотренные для этого инцидента в профиле рисков;
установления по результатам проводимого мониторинга уровней значимых рисков факта превышения текущими значениями КИР пороговых значений КИР, указанных в приложении 2 к настоящему Положению; выявления значимого риска в ПС, для которого уровень присущего риска до применения способов управления рисками в ПС может превысить или превысил уровень допустимого риска.
(пп. 3.2.9 в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
3.2.10. По результатам проведенной плановой самооценки, внеплановой полной самооценки и внеплановой частичной самооценки отдельных значимых рисков (отдельного значимого риска) риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы, риск-координатор СБП внешней платежной системы должны заполнить профиль рисков в ПС в части своей компетенции, риск-координаторы бизнес-процесса должны составить профиль рисков в ПС. Профиль рисков составляется в соответствии с приложением 7 к настоящему Положению.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
Профиль рисков в ПС, а также допустимые уровни значимых рисков должны быть одобрены Комитетом.
Профиль рисков в ПС должен храниться в специализированной автоматизированной системе не менее пяти лет со дня его составления и (или) актуализации.
(пп. 3.2.10 в ред. Указания Банка России от 22.09.2022 N 6254-У)
(см. текст в предыдущей редакции)
3.3. Мониторинг уровней значимых рисков должен обеспечивать выявление существенных изменений уровней остаточных рисков.
Мониторинг уровней значимых рисков должен проводиться в соответствии с приложением 2 к настоящему Положению, а также на основе следующих мероприятий.
3.3.1. По результатам мониторинга уровней значимых рисков должно обеспечиваться доведение до руководителей, указанных в пункте 2.1 настоящего Положения, и до руководителей ОПКЦ внешней платежной системы в части, относящейся к их компетенции, информации о повышении уровней остаточных рисков до и выше допустимого.
3.3.2. Дополнительные КИР должны разрабатываться с учетом следующей информации:
требований законодательства Российской Федерации, нормативных и иных актов Банка России, регламентирующих функционирование ПС;
результатов мониторинга уровней значимых рисков;
другой информации, свидетельствующей о целесообразности разработки (отмены) дополнительных КИР.
3.3.3. Дополнительные КИР могут разрабатываться для мониторинга уровня одного значимого риска или одновременного мониторинга уровней нескольких значимых рисков. Для мониторинга уровня одного значимого риска может быть разработано несколько разных КИР.
3.3.4. В целях мониторинга уровня риска информационной безопасности в ПС должны быть предусмотрены следующие дополнительные мероприятия:
оценка соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018;
оценка соответствия текущего уровня защиты информации объектов информационной инфраструктуры ОПКЦ внешней платежной системы, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018;
оценка выполнения требований к защите информации, обязательных для ОПКЦ внешней платежной системы в соответствии с Положением Банка России от 25 июля 2022 года N 802-П "О требованиях к защите информации в платежной системе Банка России" (зарегистрировано Минюстом России 25 ноября 2022 года, регистрационный N 71124) (далее - Положение Банка России N 802-П);
оценка выполнения требований, обязательных для работников структурных подразделений Банка России.
(пп. 3.3.4 введен Указанием Банка России от 09.01.2024 N 6653-У)
3.4. В целях управления значимыми рисками должны использоваться следующие меры реагирования, являющиеся способами управления рисками:
осуществление расчета в ПС до конца операционного дня;
обеспечение возможности предоставления внутридневного кредита и кредита овернайт;
осуществление перевода за счет денежных средств, находящихся на счетах участников ПС, в том числе с учетом лимита внутридневного кредита и кредита овернайт, а также за счет денежных средств, объединенных в пул ликвидности;
изменение последовательности расположения распоряжений участников ПС во внутридневной очереди;
прием распоряжений на бумажном носителе и отчуждаемых машинных носителях информации;
определение требований для участников ПС, являющихся кредитными организациями, в части управления риском информационной безопасности участника ПС;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
определение требований к защите информации ОПКЦ внешней платежной системы в соответствии с Положением Банка России N 802-П;
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
определение требований к защите информации, обязательных для работников структурных подразделений Банка России.
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
В целях управления значимыми рисками могут применяться дополнительные меры реагирования при условии, что их применение обеспечивает снижение уровня воздействия от реализации значимого риска или снижение вероятности реализации значимого риска.
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
Абзац утратил силу. - Указание Банка России от 22.09.2022 N 6254-У.
(см. текст в предыдущей редакции)
3.5. Утратил силу. - Указание Банка России от 22.09.2022 N 6254-У.
(см. текст в предыдущей редакции)
3.6. В случае если действующая СУР не обеспечила три и более раза в течение календарного года возможность восстановления оказания УПИ в сроки, определенные в пункте 1.2 настоящего Положения (при приостановлении их оказания), в СУР должны быть внесены изменения.
(п. 3.6 введен Указанием Банка России от 09.01.2024 N 6653-У)
3.7. Критериями отнесения риск-событий, реализовавшихся при оказании УПИ, к риск-событиям приостановления оказания УПИ являются:
в части сервиса срочного перевода и (или) сервиса несрочного перевода - непоступление в операционный и платежный клиринговый центр ПС, функции которого выполняет Банк России, в течение периода времени, превышающего 15 минут, ни одного распоряжения, направленного участником ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в рамках операционного дня, в котором предоставлялись сервис срочного перевода и (или) сервис несрочного перевода в соответствии с графиком функционирования ПС с учетом периодов и (или) сеансов;
в части СБП - превышение доли недополученных распоряжений в СБП 0,5 процента от значения суточной медианы распоряжений, исполненных с использованием СБП за предыдущий календарный месяц.
(п. 3.7 введен Указанием Банка России от 09.01.2024 N 6653-У)
3.8. Приостановление оказания УПИ в связи с проведением технологических и (или) регламентных работ, предусмотренных организационно-распорядительными документами Банка России, не относится к событиям приостановления оказания УПИ.
(п. 3.8 введен Указанием Банка России от 09.01.2024 N 6653-У)
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей