О требованиях к системе управления рисками, связанными с осуществлением репозитарной деятельности, и правилам управления рисками репозитария от 29 сентября 2016

Действующий

Внимание! Об изменениях документа см. ярлык "Оперативная информация"

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ

от 29 сентября 2016 года N 4144-У

О требованиях к системе управления рисками, связанными с осуществлением репозитарной деятельности, и правилам управления рисками репозитария

Настоящее Указание на основании пункта 5 статьи 15_7 Федерального закона от 22 апреля 1996 года N 39-ФЗ "О рынке ценных бумаг" (Собрание законодательства Российской Федерации, 1996, N 17, ст.1918; 2001, N 33, ст.3424; 2002, N 52, ст.5141; 2004, N 27, ст.2711; N 31, ст.3225; 2005, N 11, ст.900; N 25, ст.2426; 2006, N 1, ст.5; N 2, ст.172; N 17, ст.1780; N 31, ст.3437; N 43, ст.4412; 2007, N 1, ст.45; N 18, ст.2117; N 22, ст.2563; N 41, ст.4845; N 50, ст.6247; 2008, N 52, ст.6221; 2009, N 1, ст.28; N 18, ст.2154; N 23, ст.2770; N 29, ст.3642; N 48, ст.5731; N 52, ст.6428; 2010, N 17, ст.1988; N 31, ст.4193; N 41, ст.5193; 2011, N 7, ст.905; N 23, ст.3262; N 29, ст.4291; N 48, ст.6728; N 49, ст.7040; N 50, ст.7357; 2012, N 25, ст.3269; N 31, ст.4334; N 53, ст.7607; 2013, N 26, ст.3207; N 30, ст.4043, ст.4082, ст.4084; N 51, ст.6699; N 52, ст.6985; 2014, N 30, ст.4219; 2015, N 1, ст.13; N 14, ст.2022; N 27, ст.4001; N 29, ст.4348, ст.4357; 2016, N 1, ст.50, ст.81; N 27, ст.4225) (далее - Федеральный закон "О рынке ценных бумаг") устанавливает требования к системе управления рисками, связанными с осуществлением репозитарной деятельности (далее - риски репозитария), и правилам управления рисками репозитария.

Глава 1. Общие положения

1.1. Репозитарий должен организовать систему управления рисками в соответствии с законодательством Российской Федерации, в том числе настоящим Указанием, нормативными правовыми актами Российской Федерации и нормативными актами Банка России, устанавливающими требования к системе управления рисками, связанными с осуществлением видов деятельности, с которыми совмещается репозитарная деятельность, в части, не противоречащей требованиям настоящего Указания, с учетом особенностей, установленных абзацем вторым настоящего пункта.

Репозитарий, являющийся организацией, совмещающей свою деятельность с деятельностью кредитной организации, должен руководствоваться Указанием Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325 ("Вестник Банка России" от 15 июня 2015 года N 51, от 31 декабря 2015 года N 122), Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 ("Вестник Банка России" от 4 февраля 2004 года N 7, от 31 декабря 2004 года N 74, от 1 апреля 2009 года N 21, от 9 июля 2014 года N 63), абзацем вторым пункта 1.2, абзацами вторым и третьим пункта 1.4, абзацем третьим пункта 1.5, главой 2, абзацем вторым подпункта 3.2.1, подпунктами 3.2.2, 3.2.4, 3.2.6, 3.2.8 пункта 3.2 настоящего Указания, а также в соответствии с требованиями главы 5 настоящего Указания должен разработать правила управления рисками репозитария, содержание которых определяется с учетом указанных выше нормативных актов, а также указанных выше требований настоящего Указания.

1.2. В рамках организации системы управления рисками репозитарий должен обеспечить осуществление мероприятий, предусмотренных настоящим Указанием, в том числе выявление, мониторинг и оценку рисков, предусмотренных главами 2-4 настоящего Указания (далее - значимые риски), при оказании репозитарием услуг, определенных пунктом 1 статьи 15_5 Федерального закона "О рынке ценных бумаг" (далее - репозитарные услуги), а также иных рисков, реализация которых может привести к потере финансовой устойчивости репозитария и (или) нарушению непрерывности деятельности по оказанию репозитарных услуг, и (или) иным неблагоприятным последствиям, которые могут привести к невозможности оказания репозитарных услуг, а также управление указанными рисками.

Система управления рисками репозитария должна обеспечивать управление как рисками репозитария, так и рисками, возникающими при осуществлении видов деятельности, с которыми совмещается репозитарная деятельность.

В случае привлечения репозитарием третьих лиц для выполнения отдельных операций, необходимых для осуществления репозитарной деятельности, система управления рисками репозитария должна обеспечивать управление рисками, связанными с привлечением третьих лиц.

1.3. Репозитарий в рамках системы управления рисками должен назначить должностное лицо или сформировать отдельное структурное подразделение, ответственное за управление рисками репозитария, за исключением риска возникновения убытков репозитария в результате несоблюдения им законодательства Российской Федерации, внутренних документов репозитария, применения в отношении репозитария санкций и (или) иных мер воздействия со стороны надзорных органов (далее - регуляторный риск), выявление, мониторинг и оценка которого, а также управление которым должны осуществляться должностным лицом (структурным подразделением), ответственным за осуществление внутреннего контроля репозитария.

Должностное лицо (руководитель структурного подразделения), ответственное (ответственный) за управление рисками, связанными с осуществлением деятельности, с которой совмещается репозитарная деятельность, может быть назначено (назначен) ответственным за управление рисками репозитария с возложением на него функций организации управления рисками репозитария и управления ими.

1.4. Должностное лицо (руководитель отдельного структурного подразделения), ответственное (ответственный) за организацию системы управления рисками репозитария, не может осуществлять функции, которые не связаны с управлением или организацией управления рисками репозитария и (или) рисками, возникающими при осуществлении видов деятельности, с которыми совмещается репозитарная деятельность.

Должностное лицо (руководитель структурного подразделения), ответственное (ответственный) за управление рисками репозитария (далее - должностное лицо), должно быть подотчетно совету директоров (наблюдательному совету) репозитария.

Должностное лицо должно регулярно, но не реже одного раза в шесть месяцев, представлять совету директоров (наблюдательному совету) репозитария отчеты в рамках организации системы управления рисками, в том числе об управлении значимыми рисками, за исключением регуляторного риска (далее - отчеты об управлении рисками репозитария).

1.5. Репозитарий в рамках организации системы управления рисками репозитария должен обеспечить:

разработку правил управления рисками репозитария в соответствии с требованиями настоящего Указания;

проведение оценки эффективности функционирования системы управления рисками репозитария, в том числе для целей принятия решений по вопросам развития (совершенствования) системы управления рисками репозитария, по мере необходимости, но не реже одного раза в год.

Глава 2. Требования к организации управления и управлению коммерческим риском репозитария

2.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке рисков возникновения убытков и (или) иных неблагоприятных последствий, которые могут оказать негативное воздействие на финансовую устойчивость репозитария и возможность продолжать оказывать репозитарные услуги, в том числе вследствие неэффективной реализации бизнес-стратегии репозитария и (или) возникновения непредвиденных расходов в ходе оказания репозитарных услуг (далее - коммерческий риск), а также управлению коммерческим риском.

2.2. Меры по выявлению коммерческого риска репозитария должны обеспечивать определение репозитарием источников коммерческого риска, оценку их влияния на финансовую устойчивость репозитария, а также возможность продолжать оказывать репозитарные услуги и должны осуществляться с использованием:

процедур оценки вероятности наступления событий риска и их возможных последствий, в том числе с использованием данных о размере убытков, понесенных в связи с реализацией коммерческого риска за предшествующий период деятельности;

сценарного анализа, предусматривающего оценку влияния различных сценариев и отдельных параметров сценариев на финансовую устойчивость репозитария и возможность осуществления репозитарных услуг.

2.3. Меры по мониторингу, оценке коммерческого риска и управлению коммерческим риском репозитария осуществляются в соответствии с законодательством Российской Федерации с учетом требований к мониторингу, оценке коммерческого риска и управлению им при осуществлении некредитными финансовыми организациями соответствующих видов деятельности, с которыми совмещается репозитарная деятельность, и должны обеспечивать в том числе следующее:

снижение вероятности наступления убытков и (или) иных неблагоприятных последствий, связанных с реализацией коммерческого риска, в том числе в случае возникновения неблагоприятных экономических условий, которые могут повлиять на возможность репозитария оказывать репозитарные услуги;

определение возможности и целесообразности снижения или принятия коммерческого риска и управление им, в том числе в условиях изменения экономической ситуации.

Глава 3. Требования к организации управления и управлению операционным риском репозитария

3.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке риска ухудшения или прекращения оказания репозитарных услуг вследствие недостатков, нарушений, сбоев в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибок работников репозитария и (или) внешних событий, оказывающих негативное воздействие на деятельность по оказанию репозитарных услуг (далее - операционный риск), а также управлению операционным риском.

3.2. В рамках выявления, мониторинга и оценки операционного риска, а также управления им репозитарий должен разработать и осуществлять следующие меры.

3.2.1. Определить меры по выявлению источников операционного риска, в рамках которых репозитарий должен учитывать внутренние источники операционного риска, в том числе недостатки, нарушения, сбои в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибки работников репозитария, а также внешние источники операционного риска, в том числе сбои в работе поставщиков телекоммуникационных услуг, обеспечивающих функционирование репозитария, и иные внешние события и обстоятельства, включая события природного, политического, экономического характера, которые могут оказать негативное воздействие на деятельность по оказанию репозитарных услуг.

Для целей выявления внутренних источников операционного риска репозитарий должен выделить бизнес-процессы (их отдельные сегменты), сбои в работе которых могут привести к ухудшению или прекращению оказания репозитарных услуг.

Репозитарий должен анализировать и выявлять возможные новые источники операционного риска, в том числе связанные с развитием информационных технологий, в целях их учета при мониторинге и оценке операционного риска репозитария, а также управления им.

3.2.2. Определить целевые показатели операционной надежности репозитария, обеспечивающие бесперебойность оказания репозитарных услуг, а также конфиденциальность, целостность и сохранность данных, доступ к данным на постоянной основе.

При определении целевых показателей операционной надежности репозитарий должен учитывать как количественные, так и качественные критерии операционной надежности репозитария.

Репозитарий должен оценивать выполнение целевых показателей операционной надежности не реже одного раза в шесть месяцев и предоставлять информацию о результатах оценки совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария.

Репозитарий должен анализировать целевые показатели операционной надежности не реже одного раза в год и при необходимости актуализировать их, в том числе с учетом развития новых технологий и совершенствования бизнес-процессов репозитарной деятельности.

3.2.3. Обеспечить ведение базы данных о событиях операционного риска, включающей в том числе описание событий операционного риска, результаты их анализа, принятые по ним решения в рамках управления операционным риском.

3.2.4. Использовать комплексы программно-технических средств для оказания репозитарных услуг, обеспечивающие бесперебойную деятельность репозитария и возможность оперативно обрабатывать объем информации при оказании репозитарных услуг и оперативно управлять информацией, получаемой репозитарием при оказании репозитарных услуг.

Репозитарий должен составлять прогнозную оценку возможного изменения объемов проводимых репозитарием операций и разрабатывать планы мер, обеспечивающих оказание репозитарных услуг в условиях возможного увеличения объемов операций и (или) при необходимости изменения технических параметров комплексов программно-технических средств.

Репозитарий должен проводить тестирование (в том числе стресс-тестирование) комплексов программно-технических средств с периодичностью, установленной правилами управления рисками репозитария, но не реже одного раза в год, а также в случаях изменений бизнес-процессов, связанных с оказанием репозитарных услуг, и после событий операционного риска, в результате наступления которых с учетом степени их влияния на результаты и качество осуществления репозитарной деятельности репозитарий не сможет оказывать репозитарные услуги в соответствии с требованиями к репозитарной деятельности.

3.2.5. Определить меры, направленные на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности, обеспечивающие сохранность или восстановление информации в случае ее умышленного или случайного разрушения (искажения) или выхода из строя средств вычислительной техники, а также защиту комплексов программно-технических средств от внешних воздействий и угроз, которые могут привести к нарушению их работоспособности.

Меры, направленные на защиту информационных систем и комплексов программно-технических средств репозитария, должны предусматривать в том числе:

механизмы защиты на всех этапах жизненного цикла автоматизированных систем обработки информации;

учет факторов, которые могут привести к утере работоспособности комплексов программно-технических средств репозитария;

использование средств антивирусной защиты;

механизмы защиты при использовании ресурсов информационно-телекоммуникационной сети "Интернет";

механизмы защиты при определении ролей (функций) работников репозитария на этапе эксплуатации комплексов программно-технических средств;

механизмы защиты при управлении регистрацией и доступом специалистов репозитария к работе с информационными системами и программно-техническими средствами;

средства двухфакторной аутентификации при организации работы работников репозитария с информационными системами и программно-техническими средствами;

процедуры выявления инцидентов нарушения информационной безопасности и мероприятия, направленные на повышение грамотности работников репозитария по вопросам информационной безопасности.

Репозитарий должен на постоянной основе проводить мониторинг соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности.

Репозитарий должен по мере необходимости, но не реже одного раза в год, проводить анализ и оценку эффективности применяемых мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, в том числе с учетом выявленных инцидентов нарушений информационной безопасности.

Репозитарий должен предоставлять информацию о результатах мониторинга соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, а также предложения о совершенствовании мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария.

3.2.6. Организовать функционирование комплекса программно-технических средств репозитария, обеспечивающего надлежащее и бесперебойное осуществление деятельности репозитария в случае невозможности осуществления услуг репозитария основным комплексом программно-технических средств репозитария в условиях возникновения нестандартных и чрезвычайных ситуаций (далее - резервный комплекс).

Резервный комплекс должен функционально дублировать работу основного комплекса программно-технических средств репозитария для обеспечения непрерывности функционирования репозитария.

Репозитарий должен обеспечить переход на использование резервного комплекса при оказании репозитарных услуг в случае возникновения нестандартных и чрезвычайных ситуаций и невозможности обеспечения непрерывности деятельности при оказании услуг репозитария основным комплексом программно-технических средств репозитария.

В рамках обеспечения функционирования резервного комплекса репозитарий в том числе должен:

расположить резервный комплекс на территориальном удалении от основного комплекса программно-технических средств репозитария, а также обеспечить возможность работникам основного комплекса программно-технических средств репозитария осуществлять процесс репозитарной деятельности в резервном комплексе в течение срока, определенного планом обеспечения непрерывности деятельности репозитария;

обеспечить наличие независимых друг от друга генераторов электричества в основном комплексе программно-технических средств репозитария и резервном комплексе;

использовать услуги как минимум двух независимых поставщиков телекоммуникационных услуг для основного комплекса программно-технических средств репозитария и резервного комплекса;

обеспечить нахождение в резервном комплексе работников репозитария в течение рабочего времени, определенного внутренними документами репозитария, для обеспечения начала функционирования резервного комплекса и возобновления в нем осуществления репозитарных услуг в случае возникновения нестандартной или чрезвычайной ситуации;

поддерживать техническое состояние резервного комплекса, в том числе необходимое количество рабочих мест для обеспечения возможности осуществления услуг репозитария в резервном комплексе в течение как минимум 15 рабочих дней с момента возникновения нестандартной или чрезвычайной ситуации.

В случае перехода на использование резервного комплекса при оказании репозитарных услуг репозитарий должен обеспечить оказание репозитарных услуг в порядке и сроки, установленные Федеральным законом "О рынке ценных бумаг".

Репозитарий должен осуществлять ежедневное резервное копирование баз данных репозитария, в том числе из резервного комплекса (в случае перехода на его использование), а также обеспечивать сохранность копий на случай утраты (повреждения) баз данных репозитария.

3.2.7. Определить меры, обеспечивающие оказание репозитарных услуг квалифицированными работниками репозитария и предупреждение неправомерных действий со стороны работников репозитария.

3.2.8. Определить меры по выявлению дополнительного операционного риска, обусловленного взаимодействием с инфраструктурными и иными организациями финансового рынка, в том числе клиентами и поставщиками услуг, а также меры, направленные на снижение или устранение возможного негативного влияния дополнительного операционного риска при осуществлении репозитарной деятельности.

Этот документ входит в профессиональные
справочные системы «Кодекс» и «Техэксперт»