Указание Банка России от 29.09.2016 N 4144-У
 О требованиях к системе управления рисками, связанными с осуществлением репозитарной деятельности, и правилам управления рисками репозитария 



 

     ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ УКАЗАНИЕ от . N 4144-У О ТРЕБОВАНИЯХ К СИСТЕМЕ УПРАВЛЕНИЯ РИСКАМИ, СВЯЗАННЫМИ С ОСУЩЕСТВЛЕНИЕМ РЕПОЗИТАРНОЙ ДЕЯТЕЛЬНОСТИ, И ПРАВИЛАМ УПРАВЛЕНИЯ РИСКАМИ РЕПОЗИТАРИЯ Настоящее Указание на основании  пункта 5 статьи 15.7  Федерального закона от  N 39-ФЗ  (Собрание законодательства Российской Федерации, 1996, N 17, ст. 1918; 2001, N 33, ст. 3424; 2002, N 52, ст. 5141; 2004, N 27, ст. 2711; N 31, ст. 3225; 2005, N 11, ст. 900; N 25, ст. 2426; 2006, N 1, ст. 5; N 2, ст. 172; N 17, ст. 1780; N 31, ст. 3437; N 43, ст. 4412; 2007, N 1, ст. 45; N 18, ст. 2117; N 22, ст. 2563; N 41, ст. 4845; N 50, ст. 6247; 2008, N 52, ст. 6221; 2009, N 1, ст. 28; N 18, ст. 2154; N 23, ст. 2770; N 29, ст. 3642; N 48, ст. 5731; N 52, ст. 6428; 2010, N 17, ст. 1988; N 31, ст. 4193; N 41, ст. 5193; 2011, N 7, ст. 905; N 23, ст. 3262; N 29, ст. 4291; N 48, ст. 6728; N 49, ст. 7040; N 50, ст. 7357; 2012, N 25, ст. 3269; N 31, ст. 4334; N 53, ст. 7607; 2013, N 26, ст. 3207; N 30, ст. 4043, ст. 4082, ст. 4084; N 51, ст. 6699; N 52, ст. 6985; 2014, N 30, ст. 4219; 2015, N 1, ст. 13; N 14, ст. 2022; N 27, ст. 4001; N 29, ст. 4348, ст. 4357; 2016, N 1, ст. 50, ст. 81; N 27, ст. 4225) (далее - Федеральный закон ) устанавливает требования к системе управления рисками, связанными с осуществлением репозитарной деятельности (далее - риски репозитария), и правилам управления рисками репозитария. 
 Глава 1. Общие положения 1.1. Репозитарий должен организовать систему управления рисками в соответствии с законодательством Российской Федерации, в том числе настоящим Указанием, нормативными правовыми актами Российской Федерации и нормативными актами Банка России, устанавливающими требования к системе управления рисками, связанными с осуществлением видов деятельности, с которыми совмещается репозитарная деятельность, в части, не противоречащей требованиям настоящего Указания, с учетом особенностей, установленных  абзацем вторым  настоящего пункта. 
 Репозитарий, являющийся организацией, совмещающей свою деятельность с деятельностью кредитной организации, должен руководствоваться  Указанием  Банка России от  N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации  N 37388,  N 40325 ("Вестник Банка России" от  N 51, от  N 122),  Положением  Банка России от  N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации  N 5489,  N 6222,  N 13547,  N 32913 ("Вестник Банка России" от  N 7, от  N 74, от  N 21, от  N 63),  абзацем вторым пункта 1.2 ,  абзацами вторым  и  третьим пункта 1.4 ,  абзацем третьим пункта 1.5 ,  главой 2 ,  абзацем вторым подпункта 3.2.1 ,  подпунктами 3.2.2 ,  3.2.4 ,  3.2.6 ,  3.2.8 пункта 3.2  настоящего Указания, а также в соответствии с требованиями  главы 5  настоящего Указания должен разработать правила управления рисками репозитария, содержание которых определяется с учетом указанных выше нормативных актов, а также указанных выше требований настоящего Указания. 1.2. В рамках организации системы управления рисками репозитарий должен обеспечить осуществление мероприятий, предусмотренных настоящим Указанием, в том числе выявление, мониторинг и оценку рисков, предусмотренных  главами 2  -  4  настоящего Указания (далее - значимые риски), при оказании репозитарием услуг, определенных  пунктом 1 статьи 15.5  Федерального закона  (далее - репозитарные услуги), а также иных рисков, реализация которых может привести к потере финансовой устойчивости репозитария и (или) нарушению непрерывности деятельности по оказанию репозитарных услуг, и (или) иным неблагоприятным последствиям, которые могут привести к невозможности оказания репозитарных услуг, а также управление указанными рисками. 
 Система управления рисками репозитария должна обеспечивать управление как рисками репозитария, так и рисками, возникающими при осуществлении видов деятельности, с которыми совмещается репозитарная деятельность. В случае привлечения репозитарием третьих лиц для выполнения отдельных операций, необходимых для осуществления репозитарной деятельности, система управления рисками репозитария должна обеспечивать управление рисками, связанными с привлечением третьих лиц. 1.3. Репозитарий в рамках системы управления рисками должен назначить должностное лицо или сформировать отдельное структурное подразделение, ответственное за управление рисками репозитария, за исключением риска возникновения убытков репозитария в результате несоблюдения им законодательства Российской Федерации, внутренних документов репозитария, применения в отношении репозитария санкций и (или) иных мер воздействия со стороны надзорных органов (далее - регуляторный риск), выявление, мониторинг и оценка которого, а также управление которым должны осуществляться должностным лицом (структурным подразделением), ответственным за осуществление внутреннего контроля репозитария. Должностное лицо (руководитель структурного подразделения), ответственное (ответственный) за управление рисками, связанными с осуществлением деятельности, с которой совмещается репозитарная деятельность, может быть назначено (назначен) ответственным за управление рисками репозитария с возложением на него функций организации управления рисками репозитария и управления ими. 1.4. Должностное лицо (руководитель отдельного структурного подразделения), ответственное (ответственный) за организацию системы управления рисками репозитария, не может осуществлять функции, которые не связаны с управлением или организацией управления рисками репозитария и (или) рисками, возникающими при осуществлении видов деятельности, с которыми совмещается репозитарная деятельность. Должностное лицо (руководитель структурного подразделения), ответственное (ответственный) за управление рисками репозитария (далее - должностное лицо), должно быть подотчетно совету директоров (наблюдательному совету) репозитария. 
 Должностное лицо должно регулярно, но не реже одного раза в шесть месяцев, представлять совету директоров (наблюдательному совету) репозитария отчеты в рамках организации системы управления рисками, в том числе об управлении значимыми рисками, за исключением регуляторного риска (далее - отчеты об управлении рисками репозитария). 1.5. Репозитарий в рамках организации системы управления рисками репозитария должен обеспечить: разработку правил управления рисками репозитария в соответствии с требованиями настоящего Указания; проведение оценки эффективности функционирования системы управления рисками репозитария, в том числе для целей принятия решений по вопросам развития (совершенствования) системы управления рисками репозитария, по мере необходимости, но не реже одного раза в год. 
 Глава 2. Требования к организации управления и управлению коммерческим риском репозитария 2.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке рисков возникновения убытков и (или) иных неблагоприятных последствий, которые могут оказать негативное воздействие на финансовую устойчивость репозитария и возможность продолжать оказывать репозитарные услуги, в том числе вследствие неэффективной реализации бизнес-стратегии репозитария и (или) возникновения непредвиденных расходов в ходе оказания репозитарных услуг (далее - коммерческий риск), а также управлению коммерческим риском. 2.2. Меры по выявлению коммерческого риска репозитария должны обеспечивать определение репозитарием источников коммерческого риска, оценку их влияния на финансовую устойчивость репозитария, а также возможность продолжать оказывать репозитарные услуги и должны осуществляться с использованием: процедур оценки вероятности наступления событий риска и их возможных последствий, в том числе с использованием данных о размере убытков, понесенных в связи с реализацией коммерческого риска за предшествующий период деятельности; сценарного анализа, предусматривающего оценку влияния различных сценариев и отдельных параметров сценариев на финансовую устойчивость репозитария и возможность осуществления репозитарных услуг. 
 2.3. Меры по мониторингу, оценке коммерческого риска и управлению коммерческим риском репозитария осуществляются в соответствии с законодательством Российской Федерации с учетом требований к мониторингу, оценке коммерческого риска и управлению им при осуществлении некредитными финансовыми организациями соответствующих видов деятельности, с которыми совмещается репозитарная деятельность, и должны обеспечивать в том числе следующее: снижение вероятности наступления убытков и (или) иных неблагоприятных последствий, связанных с реализацией коммерческого риска, в том числе в случае возникновения неблагоприятных экономических условий, которые могут повлиять на возможность репозитария оказывать репозитарные услуги; определение возможности и целесообразности снижения или принятия коммерческого риска и управление им, в том числе в условиях изменения экономической ситуации. 
 Глава 3. Требования к организации управления и управлению операционным риском репозитария 3.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке риска ухудшения или прекращения оказания репозитарных услуг вследствие недостатков, нарушений, сбоев в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибок работников репозитария и (или) внешних событий, оказывающих негативное воздействие на деятельность по оказанию репозитарных услуг (далее - операционный риск), а также управлению операционным риском. 3.2. В рамках выявления, мониторинга и оценки операционного риска, а также управления им репозитарий должен разработать и осуществлять следующие меры. 3.2.1. Определить меры по выявлению источников операционного риска, в рамках которых репозитарий должен учитывать внутренние источники операционного риска, в том числе недостатки, нарушения, сбои в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибки работников репозитария, а также внешние источники операционного риска, в том числе сбои в работе поставщиков телекоммуникационных услуг, обеспечивающих функционирование репозитария, и иные внешние события и обстоятельства, включая события природного, политического, экономического характера, которые могут оказать негативное воздействие на деятельность по оказанию репозитарных услуг. Для целей выявления внутренних источников операционного риска репозитарий должен выделить бизнес-процессы (их отдельные сегменты), сбои в работе которых могут привести к ухудшению или прекращению оказания репозитарных услуг. Репозитарий должен анализировать и выявлять возможные новые источники операционного риска, в том числе связанные с развитием информационных технологий, в целях их учета при мониторинге и оценке операционного риска репозитария, а также управления им. 3.2.2. Определить целевые показатели операционной надежности репозитария, обеспечивающие бесперебойность оказания репозитарных услуг, а также конфиденциальность, целостность и сохранность данных, доступ к данным на постоянной основе. При определении целевых показателей операционной надежности репозитарий должен учитывать как количественные, так и качественные критерии операционной надежности репозитария. Репозитарий должен оценивать выполнение целевых показателей операционной надежности не реже одного раза в шесть месяцев и предоставлять информацию о результатах оценки совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария. Репозитарий должен анализировать целевые показатели операционной надежности не реже одного раза в год и при необходимости актуализировать их, в том числе с учетом развития новых технологий и совершенствования бизнес-процессов репозитарной деятельности. 3.2.3. Обеспечить ведение базы данных о событиях операционного риска, включающей в том числе описание событий операционного риска, результаты их анализа, принятые по ним решения в рамках управления операционным риском. 3.2.4. Использовать комплексы программно-технических средств для оказания репозитарных услуг, обеспечивающие бесперебойную деятельность репозитария и возможность оперативно обрабатывать объем информации при оказании репозитарных услуг и оперативно управлять информацией, получаемой репозитарием при оказании репозитарных услуг. Репозитарий должен составлять прогнозную оценку возможного изменения объемов проводимых репозитарием операций и разрабатывать планы мер, обеспечивающих оказание репозитарных услуг в условиях возможного увеличения объемов операций и (или) при необходимости изменения технических параметров комплексов программно-технических средств. Репозитарий должен проводить тестирование (в том числе стресс-тестирование) комплексов программно-технических средств с периодичностью, установленной правилами управления рисками репозитария, но не реже одного раза в год, а также в случаях изменений бизнес-процессов, связанных с оказанием репозитарных услуг, и после событий операционного риска, в результате наступления которых с учетом степени их влияния на результаты и качество осуществления репозитарной деятельности репозитарий не сможет оказывать репозитарные услуги в соответствии с требованиями к репозитарной деятельности. 3.2.5. Определить меры, направленные на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности, обеспечивающие сохранность или восстановление информации в случае ее умышленного или случайного разрушения (искажения) или выхода из строя средств вычислительной техники, а также защиту комплексов программно-технических средств от внешних воздействий и угроз, которые могут привести к нарушению их работоспособности. Меры, направленные на защиту информационных систем и комплексов программно-технических средств репозитария, должны предусматривать в том числе: механизмы защиты на всех этапах жизненного цикла автоматизированных систем обработки информации; учет факторов, которые могут привести к утере работоспособности комплексов программно-технических средств репозитария; использование средств антивирусной защиты; механизмы защиты при использовании ресурсов информационно-телекоммуникационной сети "Интернет"; механизмы защиты при определении ролей (функций) работников репозитария на этапе эксплуатации комплексов программно-технических средств; механизмы защиты при управлении регистрацией и доступом специалистов репозитария к работе с информационными системами и программно-техническими средствами; средства двухфакторной аутентификации при организации работы работников репозитария с информационными системами и программно-техническими средствами; процедуры выявления инцидентов нарушения информационной безопасности и мероприятия, направленные на повышение грамотности работников репозитария по вопросам информационной безопасности. Репозитарий должен на постоянной основе проводить мониторинг соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности. Репозитарий должен по мере необходимости, но не реже одного раза в год, проводить анализ и оценку эффективности применяемых мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, в том числе с учетом выявленных инцидентов нарушений информационной безопасности. Репозитарий должен предоставлять информацию о результатах мониторинга соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, а также предложения о совершенствовании мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария. 3.2.6. Организовать функционирование комплекса программно-технических средств репозитария, обеспечивающего надлежащее и бесперебойное осуществление деятельности репозитария в случае невозможности осуществления услуг репозитария основным комплексом программно-технических средств репозитария в условиях возникновения нестандартных и чрезвычайных ситуаций (далее - резервный комплекс). Резервный комплекс должен функционально дублировать работу основного комплекса программно-технических средств репозитария для обеспечения непрерывности функционирования репозитария. Репозитарий должен обеспечить переход на использование резервного комплекса при оказании репозитарных услуг в случае возникновения нестандартных и чрезвычайных ситуаций и невозможности обеспечения непрерывности деятельности при оказании услуг репозитария основным комплексом программно-технических средств репозитария. В рамках обеспечения функционирования резервного комплекса репозитарий в том числе должен: расположить резервный комплекс на территориальном удалении от основного комплекса программно-технических средств репозитария, а также обеспечить возможность работникам основного комплекса программно-технических средств репозитария осуществлять процесс репозитарной деятельности в резервном комплексе в течение срока, определенного планом обеспечения непрерывности деятельности репозитария; обеспечить наличие независимых друг от друга генераторов электричества в основном комплексе программно-технических средств репозитария и резервном комплексе; использовать услуги как минимум двух независимых поставщиков телекоммуникационных услуг для основного комплекса программно-технических средств репозитария и резервного комплекса; обеспечить нахождение в резервном комплексе работников репозитария в течение рабочего времени, определенного внутренними документами репозитария, для обеспечения начала функционирования резервного комплекса и возобновления в нем осуществления репозитарных услуг в случае возникновения нестандартной или чрезвычайной ситуации; поддерживать техническое состояние резервного комплекса, в том числе необходимое количество рабочих мест для обеспечения возможности осуществления услуг репозитария в резервном комплексе в течение как минимум 15 рабочих дней с момента возникновения нестандартной или чрезвычайной ситуации. В случае перехода на использование резервного комплекса при оказании репозитарных услуг репозитарий должен обеспечить оказание репозитарных услуг в порядке и сроки, установленные Федеральным  законом  . Репозитарий должен осуществлять ежедневное резервное копирование баз данных репозитария, в том числе из резервного комплекса (в случае перехода на его использование), а также обеспечивать сохранность копий на случай утраты (повреждения) баз данных репозитария. 3.2.7. Определить меры, обеспечивающие оказание репозитарных услуг квалифицированными работниками репозитария и предупреждение неправомерных действий со стороны работников репозитария. 3.2.8. Определить меры по выявлению дополнительного операционного риска, обусловленного взаимодействием с инфраструктурными и иными организациями финансового рынка, в том числе клиентами и поставщиками услуг, а также меры, направленные на снижение или устранение возможного негативного влияния дополнительного операционного риска при осуществлении репозитарной деятельности. 
 Глава 4. Требования к организации управления и управлению правовым и регуляторным рисками репозитария 4.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке рисков возникновения убытков репозитария вследствие нарушения репозитарием и (или) его контрагентами условий заключенных договоров, допускаемых репозитарием правовых ошибок при оказании репозитарных услуг, несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в деятельности репозитария), нарушения контрагентами нормативных правовых актов, нахождения контрагентов под юрисдикцией различных государств (далее - правовой риск), а также регуляторного риска и меры по управлению правовым и регуляторным рисками. 4.2. В рамках выявления, мониторинга и оценки правового риска, а также управления им репозитарий должен разработать и осуществлять следующие меры. 4.2.1. Определить меры по выявлению источников правового риска, проводить оценку его влияния на финансовую устойчивость репозитария и возможность продолжения оказания репозитарных услуг. 4.2.2. Определить меры, направленные на снижение правового риска, и осуществлять контроль их выполнения. 4.3. Меры по выявлению, мониторингу, оценке регуляторного риска и управлению им должны определяться и осуществляться должностным лицом (структурным подразделением), ответственным за осуществление внутреннего контроля репозитария. 
 Глава 5. Требования к правилам управления рисками репозитария 5.1. Правила управления рисками репозитария должны включать следующее: общие положения, определяющие цели организации системы управления рисками репозитария; перечень значимых рисков и иных рисков репозитария, реализация которых может привести к потере финансовой устойчивости репозитария и (или) нарушению деятельности по оказанию репозитарных услуг, и (или) иным неблагоприятным последствиям, которые могут привести к невозможности оказания репозитарных услуг, и их источников (по каждому виду рисков); порядок выявления, мониторинга и оценки рисков репозитария (по каждому виду рисков, за исключением регуляторного риска); порядок управления рисками репозитария, в том числе принятия решений репозитарием в рамках управления рисками репозитария (по каждому виду рисков, за исключением регуляторного риска); права и обязанности органов управления репозитария, руководителей и работников структурных подразделений репозитария, в том числе должностного лица, в рамках организации управления и управления рисками репозитария; порядок взаимодействия совета директоров (наблюдательного совета) репозитария и структурных подразделений репозитария, в том числе установление случаев и порядка обязательного информирования совета директоров (наблюдательного совета) репозитария о рисках репозитария, за исключением регуляторного риска, представления ему отчетов об управлении рисками репозитария, за исключением отчетов об управлении регуляторным риском; перечень целевых показателей операционной надежности репозитария; порядок формирования базы данных о событиях операционного риска; порядок и периодичность проведения тестирования, в том числе стресс-тестирования, комплексов программно-технических средств, используемых для осуществления репозитарной деятельности; порядок обеспечения защиты информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности; требования к организации функционирования резервного комплекса программно-технических средств; порядок управления рисками репозитария в случае привлечения репозитарием третьих лиц для выполнения отдельных операций репозитария; порядок, содержание, сроки и периодичность представления отчетов об управлении рисками репозитария совету директоров (наблюдательному совету) репозитария, за исключением отчетов об управлении регуляторным риском; порядок оценки эффективности функционирования системы управления рисками репозитария и принятия решений по вопросам развития (совершенствования) системы управления рисками репозитария. 5.2. Правила управления рисками репозитария пересматриваются по мере необходимости, но не реже одного раза в год в целях актуализации содержащихся в них сведений и (или) повышения эффективности функционирования системы управления рисками репозитария. 5.3. Правила управления рисками репозитария могут состоять из одного или нескольких документов. 
 Глава 6. Заключительные положения Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования <1>. -------------------------------- <1> Официально опубликовано на сайте Банка России 01.11.2016. Председатель Центрального банка Российской Федерации Э.С.НАБИУЛЛИНА