Положение Банка России от 27.10.2020 N 738-П "О порядке обеспечения бесперебойности функционирования платежной системы Банка России" (Зарегистрировано в Минюсте России 21.12.2020 N 61663)

Глава 1. Общие положения

1.1. Понятия, используемые в настоящем Положении, применяются в значениях, установленных Федеральным законом от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2020, N 30, ст. 4738) (далее - Федеральный закон "О национальной платежной системе").

1.2. Бесперебойность функционирования платежной системы Банка России (далее - БФПС) достигается при условии оказания в платежной системе Банка России (далее - ПС) в отношении распоряжений о переводе денежных средств, представленных в электронном виде по каналам связи, услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона "О национальной платежной системе", нормативных актов Банка России, в том числе определяющих правила ПС, условиям договоров, на основании которых осуществляется банковское обслуживание участников ПС, договора о взаимодействии платежных систем (далее - надлежащее оказание УПИ), или при условии восстановления надлежащего оказания УПИ, восстановления оказания УПИ (в случае приостановления их оказания) в следующие сроки:

не более двух часов для сервиса срочного перевода и сервиса несрочного перевода при восстановлении оказания УПИ в случае приостановления их оказания;

не более сорока восьми часов для сервиса срочного перевода и сервиса несрочного перевода и не более двух часов для сервиса быстрых платежей (далее - СБП) при восстановлении надлежащего оказания УПИ.

1.3. Надлежащим оказанием УПИ признается оказание УПИ в течение временного интервала, указанного в приложении 1 к настоящему Положению.

Гарантированный уровень бесперебойности оказания операционных услуг, характеризующий качество функционирования операционных и технологических средств платежной инфраструктуры Банка России, достигается при соблюдении пороговых уровней индикатора доступности операционного центра, расчет которого осуществляется в соответствии с подпунктом 2.4 пункта 2 приложения 2 к настоящему Положению.

1.4. Банк России, осуществляя деятельность по обеспечению БФПС, должен:

1.4.1. организовать систему управления рисками в ПС, присущими бизнес-процессу, в рамках которого обеспечивается функционирование ПС (далее - бизнес-процесс);

1.4.2. осуществлять идентификацию операционных рисков, включая правовые риски, рисков ликвидности, кредитных рисков, реализация которых способна оказать воздействие на деятельность Банка России и оператора внешней платежной системы, выполняющего функции операционного и платежного клирингового центра в рамках СБП (далее - ОПКЦ внешней платежной системы), в части неоказания УПИ в соответствии со шкалой оценки воздействия риска, приведенной в подпункте 3.2.3 пункта 3.2 настоящего Положения, а также со шкалами оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными методикой управления операционными рисками Банка России (далее - значимые риски), а также совершать иные действия, предусмотренные пунктом 3.1 настоящего Положения (далее при совместном упоминании - управление рисками в ПС);

1.4.3. выявлять риск-события, регистрировать риск-события, которым присвоен уровень воздействия на деятельность Банка России как оператора ПС в соответствии со шкалой оценки воздействия риска, приведенной в подпункте 3.2.3 пункта 3.2 настоящего Положения, а также со шкалами оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными методикой управления операционными рисками Банка России (далее - инциденты), определять их влияние на БФПС, а также совершать иные действия, предусмотренные пунктом 4.1 настоящего Положения, в целях восстановления оказания УПИ в случае приостановления их оказания и восстанавливать надлежащее оказание УПИ (далее при совместном упоминании - управление непрерывностью функционирования ПС);

1.4.4. организовывать и осуществлять взаимодействие Банка России, ОПКЦ внешней платежной системы и участников ПС, направленное на обеспечение БФПС;

1.4.5. осуществлять контроль за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС.

1.5. Банк России должен организовывать деятельность по обеспечению БФПС с учетом организационной модели управления рисками, предусматривающей самостоятельное управление Банком России рисками в ПС.

Деятельность по обеспечению БФПС должна осуществляться в том числе с использованием программно-технических средств.

1.6. Управление риском информационной безопасности в ПС и установление ключевых индикаторов рисков (далее - КИР) для указанного риска должно осуществляться Банком России в рамках обеспечения защиты информации в ПС.

Глава 2. Организационная структура, используемая Банком России при обеспечении бесперебойности функционирования платежной системы Банка России

2.1. Организационная структура, используемая Банком России при обеспечении БФПС, должна включать три уровня:

на первом уровне управление рисками в ПС, а также управление непрерывностью функционирования ПС должно осуществляться структурными подразделениями подразделений Банка России при выполнении ими бизнес-процесса (далее - ПУРиН), руководителями ПУРиН, руководителем структурного подразделения центрального аппарата Банка России, реализующего полномочия оператора ПС и ответственного за функционирование ПС в целом (далее - подразделение, реализующее полномочия оператора ПС), заместителем Председателя Банка России, курирующим вопросы организации и функционирования национальной платежной системы (далее - курирующий руководитель Банка России), Председателем Банка России, а также структурными подразделениями ОПКЦ внешней платежной системы, выполняющими бизнес-процесс в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - ПУРиН внешней платежной системы);

на втором уровне координация и методологическая поддержка деятельности по обеспечению БФПС должны выполняться подразделением, реализующим полномочия оператора ПС, и структурным подразделением центрального аппарата Банка России, ответственным за развитие системы управления рисками Банка России (далее - УРСУР), Комитетом по управлению рисками в ПС (далее - Комитет), а также подразделением ОПКЦ внешней платежной системы, ответственным за контроль рисков в СБП (далее - УпКР);

на третьем уровне должны проводиться оценка системы управления рисками в ПС (далее - СУР) Службой главного аудитора Банка России, и оценка системы управления рисками ОПКЦ внешней платежной системы - подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы.

2.2. Обеспечение БФПС должно осуществляться следующими субъектами организационной структуры:

Председателем Банка России;

курирующим руководителем Банка России;

Комитетом;

руководителем подразделения, реализующего полномочия оператора ПС (далее - владелец бизнес-процесса);

руководителем ПУРиН;

работниками подразделений Банка России, в состав которых в том числе входят ПУРиН (далее - работники структурных подразделений Банка России);

работниками УРСУР, выполняющими методологические функции по управлению рисками, присущими бизнес-процессу (далее - работники УРСУР);

работниками подразделения, реализующего полномочия оператора ПС, выполняющими методологические функции по управлению непрерывностью функционирования ПС (далее - работники оператора ПС);

работниками подразделения, реализующего полномочия оператора ПС, назначенными владельцем бизнес-процесса для координации и выполнения работ по обеспечению БФПС (далее - риск-координаторы бизнес-процесса);

работниками ПУРиН, назначенными руководителем ПУРиН для координации и выполнения работ по обеспечению БФПС в рамках компетенции данного ПУРиН (далее - риск-координаторы ПУРиН);

работником ОПКЦ внешней платежной системы, назначенным руководителем ОПКЦ внешней платежной системы для координации и выполнения работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - риск-координатор СБП внешней платежной системы). Руководитель ОПКЦ внешней платежной системы может назначить нескольких работников ОПКЦ внешней платежной системы риск-координаторами СБП внешней платежной системы;

работниками ПУРиН внешней платежной системы, осуществляющими координацию и выполнение работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП в рамках компетенции данного структурного подразделения ОПКЦ внешней платежной системы (далее - риск-координаторы ПУРиН внешней платежной системы).

2.2.1. Председатель Банка России:

рассматривает и утверждает ежегодный отчет об управлении рисками в ПС;

принимает решения о реагировании на инциденты, воздействие которых требует перехода на оказание УПИ с использованием резервных автоматизированных систем;

принимает решения о выделении ресурсов для обеспечения БФПС.

2.2.2. Курирующий руководитель Банка России:

осуществляет контроль за обеспечением БФПС;

согласовывает предложения владельца бизнес-процесса по мерам реагирования на значимые риски (далее - меры реагирования) III зоны карты рисков, представленной в приложении 3 к настоящему Положению, и обеспечивает организацию выполнения принятых решений;

согласовывает КИР, предложенные владельцем бизнес-процесса в дополнение к указанным в приложении 2 к настоящему Положению (далее - дополнительные КИР), или отмену дополнительных КИР;

утверждает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора ПС (далее - план ОНиВД);

обеспечивает принятие решений о применении мер реагирования, направленных на обеспечение непрерывности функционирования ПС в условиях инцидента (далее - ответные меры), приводящего к приостановлению оказания одной или нескольких УПИ более чем на два часа, в том числе о реализации соответствующей последовательности действий плана ОНиВД (далее - сценарий плана ОНиВД), за исключением решений, отнесенных к компетенции Председателя Банка России подпунктом 2.2.1 настоящего пункта;

принимает решения по спорным вопросам, возникающим при обеспечении БФПС, в том числе при отсутствии по ним согласованной позиции у подразделений Банка России, обеспечивающих функционирование ПС.

2.2.3. Комитет является коллегиальным органом по управлению рисками, присущими бизнес-процессу. Функции, состав и полномочия Комитета, в том числе в части оценки СУР, определяются положением о Комитете, утвержденным организационно-распорядительным документом Банка России.

2.2.4. Владелец бизнес-процесса должен обеспечивать БФПС посредством выполнения следующих мероприятий.

В части управления рисками в ПС владелец бизнес-процесса должен:

обеспечивать формирование и поддержание в актуальном состоянии описания бизнес-процесса;

совместно с руководителями ПУРиН обеспечивать идентификацию значимых рисков, присущих бизнес-процессу;

утверждать перечень значимых рисков;

совместно с руководителями ПУРиН обеспечивать проведение оценки значимых рисков;

организовывать ведение профиля риска нарушения БФПС, содержащего информацию о значимых рисках (далее - профиль рисков в ПС), и утверждать профиль рисков в ПС, подготовленный по результатам проведенной оценки значимых рисков;

обеспечивать подготовку, направление курирующему руководителю Банка России предложений о реагировании на значимые риски III зоны карты рисков и выполнение принятых решений по ним;

рассматривать и согласовывать предложения риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы по мерам реагирования на значимые риски II зоны карты рисков, обеспечивать организацию выполнения принятых решений по ним;

обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр;

направлять курирующему руководителю Банка России при наличии предложения о разработке (отмене) дополнительных КИР и обеспечивать выполнение принятых решений по ним;

обеспечивать мониторинг уровней значимых рисков и их анализ, в том числе в режиме реального времени, посредством расчета с заданной периодичностью текущих значений КИР и сопоставления их в режиме реального времени с пороговыми значениями КИР (далее - мониторинг уровней значимых рисков), а также принимать решение о назначении ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5, расчет которых осуществляется в соответствии с пунктом 2 приложения 2 к настоящему Положению;

обеспечивать проведение оценки эффективности управления рисками в ПС и принимать меры, направленные на решение проблем, возникших у нескольких подразделений Банка России при обеспечении БФПС (далее - системные проблемы);

обеспечивать подготовку ежегодного отчета об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;

обеспечивать непрерывность исполнения обязанностей, возложенных настоящим Положением на риск-координаторов бизнес-процесса и риск-координаторов ПУРиН, в период их отсутствия на рабочем месте более одного рабочего дня (для риск-координаторов ПУРиН с учетом графика работы ПУРиН).

В части управления непрерывностью функционирования ПС владелец бизнес-процесса должен:

обеспечивать выявление и регистрацию инцидентов;

обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;

принимать решения о применении ответных мер включая активацию сценариев плана ОНиВД в отношении инцидентов, приводящих к нарушению надлежащего оказания УПИ в ПС, в том числе к приостановлению оказания одной или нескольких УПИ менее чем на два часа, за исключением решений, отнесенных к компетенции Председателя Банка России, курирующего руководителя Банка России, руководителей ПУРиН;

обеспечивать подготовку предложений о применении ответных мер, в том числе об активации сценариев плана ОНиВД, отнесенных к компетенции Председателя Банка России или курирующего руководителя Банка России, и выполнение принятых решений о применении указанных мер;

обеспечивать проведение оценки эффективности управления непрерывностью функционирования ПС и принимать меры, направленные на решение системных проблем.

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС владелец бизнес-процесса должен обеспечивать:

информирование участников ПС о приостановлении и восстановлении оказания УПИ в ПС;

информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП.

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы требований настоящего Положения по обеспечению БФПС владелец бизнес-процесса должен:

обеспечивать рассмотрение документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;

утверждать подготовленные риск-координаторами бизнес-процесса результаты рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.

2.2.5. Руководители ПУРиН должны обеспечивать БФПС в части компетенции ПУРиН посредством выполнения следующих мероприятий.

В части управления рисками в ПС руководители ПУРиН должны:

обеспечивать формирование и поддержание в актуальном состоянии описания выполняемых шагов (операций) бизнес-процесса, в том числе посредством направления владельцу бизнес-процесса предложений о внесении изменений в их описание;

обеспечивать идентификацию значимых рисков, присущих бизнес-процессу, и осуществлять согласование перечня значимых рисков, подготовленного риск-координаторами ПУРиН;

обеспечивать проведение оценки значимых рисков;

организовывать ведение информации о значимых рисках в рамках профиля рисков в ПС в части компетенции ПУРиН и согласовывать содержание данной информации, подготовленной риск-координаторами ПУРиН, в профиле рисков в ПС по результатам оценки значимых рисков;

обеспечивать подготовку, направление владельцу бизнес-процесса предложений о реагировании на значимые риски III и II зоны карты рисков и выполнение принятых решений по ним;

обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр в части компетенции ПУРиН;

рассматривать предложения риск-координаторов ПУРиН об установлении (отмене) дополнительных КИР, вносить предложения об установлении (отмене) дополнительных КИР владельцу бизнес-процесса и обеспечивать выполнение принятых решений по ним;

обеспечивать проведение мониторинга уровней значимых рисков на предмет своевременного применения мер реагирования;

обеспечивать подготовку материалов для включения в ежегодный отчет об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;

обеспечивать осведомленность работников ПУРиН о значимых рисках и порядке управления ими.

В части управления непрерывностью функционирования ПС руководители ПУРиН должны:

обеспечивать выявление и регистрацию инцидентов;

обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса, в части компетенции ПУРиН;

принимать решения о применении ответных мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ менее чем на два часа, за исключением решений, отнесенных к компетенции Председателя Банка России, курирующего руководителя Банка России, владельца бизнес-процесса;

обеспечивать реализацию ответных мер, в том числе по активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ более чем на два часа.

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС руководители ПУРиН должны обеспечивать:

информирование участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;

информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в СБП, если такое информирование отнесено к компетенции ПУРиН.

2.2.6. Работники подразделений Банка России должны выполнять решения по обеспечению БФПС, принятые Председателем Банка России, курирующим руководителем Банка России, владельцем бизнес-процесса и руководителями соответствующих ПУРиН, а также информировать риск-координаторов ПУРиН своего подразделения Банка России об идентифицированных рисках, присущих бизнес-процессу, и выявленных инцидентах, представлять документы и информацию по запросам риск-координаторов бизнес-процесса и риск-координаторов ПУРиН своего подразделения Банка России.

2.2.7. Работники УРСУР должны осуществлять координацию и методологическую поддержку деятельности по управлению рисками, присущими бизнес-процессу, в том числе:

осуществлять верификацию сведений о значимых рисках и сведений о дополнительных КИР;

разрабатывать и поддерживать в актуальном состоянии структурированные справочники источников риска (риск-факторов), областей реализации рисков (риск-событий) и мер реагирования;

проводить анализ данных о значимых рисках и об управлении ими, в том числе на предмет выявления системных проблем, и при их наличии готовить предложения для подразделений Банка России и (или) руководства Банка России, направленные на повышение эффективности управления рисками в ПС.

2.2.8. Работники оператора ПС должны осуществлять координацию и методологическую поддержку деятельности по управлению непрерывностью функционирования ПС.

2.2.9. Работники УпКР должны осуществлять координацию и методологическую поддержку деятельности работников ПУРиН внешней платежной системы по вопросам обеспечения БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП.

2.2.10. Риск-координаторы бизнес-процесса должны оказывать методологическую поддержку руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН, а также риск-координатору СБП внешней платежной системы по вопросам обеспечения БФПС и выполнять следующие мероприятия.

В части управления рисками в ПС риск-координаторы бизнес-процесса должны:

контролировать актуальность описания бизнес-процесса;

идентифицировать риски, присущие бизнес-процессу, и формировать перечень значимых рисков;

согласовывать подготовленные ПУРиН результаты оценки значимых рисков и составлять профиль рисков в ПС;

рассматривать предложения ПУРиН, ПУРиН внешней платежной системы о применении мер реагирования в отношении значимых рисков III и II зоны карты рисков;

осуществлять контроль за своевременным выполнением ПУРиН решений о применении в отношении значимых рисков мер реагирования, принятых курирующим руководителем Банка России и владельцем бизнес-процесса, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;

обеспечивать согласованность планов ОНиВД разного уровня, подготовленных риск-координаторами ПУРиН, риск-координаторами ПУРиН внешней платежной системы;

обеспечивать подготовку плана ОНиВД, участвовать в его тестировании и пересмотре;

согласовывать разработанные риск-координаторами ПУРиН дополнительные КИР, а также предложения по их отмене;

подготавливать предложения для владельца бизнес-процесса по назначению ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5, проводить оценку эффективности управления рисками в ПС и подготавливать предложения для владельца бизнес-процесса по принятию мер, направленных на совершенствование бизнес-процесса;

осуществлять подготовку ежегодного отчета об управлении рисками в ПС;

доводить до сведения риск-координатора СБП внешней платежной системы информацию о владельце бизнес-процесса и риск-координаторах бизнес-процесса, осуществляющих координацию деятельности по обеспечению БФПС с ОПКЦ внешней платежной системы;

подготавливать предложения для владельца бизнес-процесса по реализации решений Комитета, сформированных по итогам проведенной оценки СУР.

В части управления непрерывностью функционирования ПС риск-координаторы бизнес-процесса должны:

согласовывать сведения о выявленных риск-координаторами ПУРиН инцидентах;

согласовывать результаты оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;

согласовывать предложения риск-координаторов ПУРиН о применении в отношении инцидентов, реализовавшихся при выполнении бизнес-процесса, ответных мер, в том числе сценариев плана ОНиВД;

осуществлять контроль за своевременным выполнением работниками ПУРиН решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;

проводить оценку эффективности управления непрерывностью функционирования ПС.

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координаторы бизнес-процесса должны:

анализировать документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, на их соответствие настоящему Положению, в том числе с использованием подготовленного риск-координатором СБП внешней платежной системы заключения о соответствии документов ОПКЦ внешней платежной системы настоящему Положению (далее - заключение о соответствии);

формировать предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;

направлять на утверждение владельцу бизнес-процесса сформированные предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.

2.2.11. Риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны оказывать методологическую поддержку работникам ПУРиН, работникам ПУРиН внешней платежной системы соответственно по вопросам обеспечения БФПС и проводить следующие мероприятия в части компетенции ПУРиН, ПУРиН внешней платежной системы.

В части управления рисками в ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:

контролировать актуальность описания бизнес-процесса (для риск-координаторов ПУРиН);

контролировать актуальность документов ОПКЦ внешней платежной системы, устанавливающих порядок взаимодействия участника СБП, ОПКЦ внешней платежной системы и Банка России (далее - стандарты ОПКЦ внешней платежной системы) (для риск-координаторов ПУРиН внешней платежной системы);

участвовать в идентификации значимых рисков и формировании перечня значимых рисков;

проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к компетенции ПУРиН;

проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к ПУРиН внешней платежной системы (для риск-координаторов ПУРиН);

подготавливать предложения о применении в отношении значимых рисков III и II зоны карты рисков мер реагирования и согласовывать их с руководителями ПУРиН (для риск-координаторов ПУРиН), риск-координатором СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);

осуществлять контроль за своевременным выполнением ПУРиН решений, принятых курирующим руководителем Банка России (владельцем бизнес-процесса, руководителями ПУРиН в части, относящейся к компетенции ПУРиН), о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН;

осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений, принятых риск-координатором СБП внешней платежной системы в части, относящейся к компетенции ПУРиН внешней платежной системы, о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН внешней платежной системы;

подготавливать предложения к плану ОНиВД, участвовать в тестировании плана ОНиВД и пересмотре плана ОНиВД;

подготавливать по результатам оценки значимых рисков предложения по дополнительным КИР или их отмене (при наличии предложений);

проводить мониторинг уровней значимых рисков;

участвовать в подготовке материалов для включения в ежегодный отчет об управлении рисками в ПС.

В части управления непрерывностью функционирования ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:

выявлять инциденты и регистрировать инциденты;

проводить оценку влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, управление которыми отнесено к компетенции ПУРиН, ПУРиН внешней платежной системы, и направлять результаты оценки на согласование риск-координаторам бизнес-процесса (для риск-координаторов ПУРиН), риск-координатору СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);

подготавливать предложения для руководителей ПУРиН, риск-координатора СБП внешней платежной системы о применении в отношении выявленных инцидентов ответных мер, в том числе сценариев плана ОНиВД;

осуществлять контроль за своевременным выполнением работниками ПУРиН, работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН, работникам ПУРиН внешней платежной системы;

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС:

риск-координаторы ПУРиН должны контролировать выполнение мероприятий по информированию:

участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;

ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН;

риск-координаторы ПУРиН внешней платежной системы должны контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН внешней платежной системы.

2.2.12. Риск-координатор СБП внешней платежной системы должен обеспечивать БФПС в рамках СБП в части функций ОПКЦ внешней платежной системы и проводить следующие мероприятия.

В части управления рисками в ПС риск-координатор СБП внешней платежной системы должен:

контролировать актуальность стандартов ОПКЦ внешней платежной системы;

идентифицировать значимые риски ОПКЦ внешней платежной системы и формировать перечень значимых рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы;

обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки значимых рисков ОПКЦ внешней платежной системы;

составлять профиль рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы, и направлять профиль рисков ОПКЦ внешней платежной системы владельцу бизнес-процесса;

обеспечивать подготовку предложений риск-координаторами ПУРиН внешней платежной системы о применении дополнительных мер реагирования в отношении значимых рисков ОПКЦ внешней платежной системы III и II зоны карты рисков, согласовывать их;

составлять план реализации дополнительных мер реагирования, указанных в профиле рисков ОПКЦ внешней платежной системы, и направлять его владельцу бизнес-процесса;

осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений о применении в отношении значимых рисков ОПКЦ внешней платежной системы дополнительных мер реагирования;

обеспечивать подготовку плана ОНиВД ОПКЦ внешней платежной системы, участвовать в его тестировании и пересмотре;

рассматривать предложения риск-координаторов ПУРиН внешней платежной системы по дополнительным КИР или их отмене;

направлять при наличии предложения о разработке или отмене дополнительных КИР риск-координаторам бизнес-процесса;

обеспечивать проведение мониторинга уровней значимых рисков ОПКЦ внешней платежной системы;

обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки эффективности управления рисками ОПКЦ внешней платежной системы;

обеспечивать подготовку и направление риск-координатору бизнес-процесса информации для включения в ежегодный отчет об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, сформированных по итогам проведенной оценки СУР и оценки системы управления рисками ОПКЦ внешней платежной системы.

В части управления непрерывностью функционирования ПС риск-координатор СБП внешней платежной системы должен:

обеспечивать выявление и регистрацию инцидентов, согласовывать сведения о выявленных риск-координаторами ПУРиН внешней платежной системы инцидентах и направлять указанные сведения риск-координаторам бизнес-процесса;

обеспечивать полноту и корректность данных о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, а также согласовать результаты указанной оценки с риск-координаторами бизнес-процесса;

осуществлять контроль за своевременным выполнением работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН внешней платежной системы, риск-координаторам ПУРиН внешней платежной системы и другим работникам ПУРиН внешней платежной системы;

обеспечивать проведение оценки эффективности управления непрерывностью функционирования ПС.

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС риск-координатор СБП внешней платежной системы должен контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ.

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координатор СБП внешней платежной системы должен:

обеспечивать разработку и поддержание в актуальном состоянии документов ОПКЦ внешней платежной системы, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, соответствующих требованиям настоящего Положения по обеспечению БФПС;

направлять владельцу бизнес-процесса на рассмотрение документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, и заключение о соответствии;

контролировать соблюдение требований документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП сотрудниками ПУРиН внешней платежной системы.

2.3. Обязанности субъектов организационной структуры при выполнении ими деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, также определяются договором о взаимодействии платежных систем, заключенным между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423).

Глава 3. Управление рисками в платежной системе Банка России

3.1. Управление рисками в ПС должно осуществляться посредством поддержания в актуальном состоянии описания бизнес-процесса и стандартов ОПКЦ внешней платежной системы, подготовки и актуализации перечня значимых рисков, идентификации значимых рисков, проведения оценки значимых рисков и действующих мер реагирования, принятия решения о реагировании на значимые риски после применения действующих мер реагирования (далее - остаточный риск), утверждения профиля рисков в ПС, актуализации данных о значимых рисках (далее при совместном упоминании - самооценка), а также мониторинга уровней значимых рисков.

3.2. Самооценка должна выполняться подразделениями Банка России в соответствии с методикой управления операционными рисками Банка России, структурными подразделениями ОПКЦ внешней платежной системы - в соответствии с приложением 4 к настоящему Положению и следующими мероприятиями (далее при совместном упоминании - методики анализа рисков).

3.2.1. Идентификация значимых рисков должна осуществляться с последовательным применением следующих способов и сопоставлением полученных результатов:

"снизу вверх" - способ, при котором значимые риски должны идентифицироваться риск-координаторами бизнес-процесса совместно с руководителями ПУРиН, риск-координаторами ПУРиН и работниками структурных подразделений Банка России, обладающими необходимым профессиональным опытом и знаниями о бизнес-процессе, риск-координатором СБП внешней платежной системы совместно с риск-координаторами ПУРиН внешней платежной системы;

"сверху вниз" - способ, при котором значимые риски должны идентифицироваться владельцем бизнес-процесса.

3.2.2. Для обеспечения эффективного управления рисками в ПС, в том числе выявления системных проблем, идентификации должны подлежать как значимые риски в рамках одного бизнес-процесса, так и значимые риски в рамках нескольких бизнес-процессов, реализация которых является источником рисков бизнес-процесса (далее - связанные риски).

3.2.3. Для определения уровня значимого риска в ПС должна осуществляться оценка значимого риска с использованием шкалы оценки вероятности реализации риска, приведенной в приложении 5 к настоящему Положению, и следующей шкалы оценки воздействия риска.

3.2.3.1. Очень сильное воздействие - недостижение целей, невыполнение (ненадлежащее выполнение) функций Банка России в части оказания УПИ при выполнении хотя бы одного условия:

непоступление в рамках операционного дня в течение периода времени, превышающего два часа, в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;

доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 75 процентов от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;

непоступление в течение периода времени, превышающего один час, в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП в ПС;

доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 75 процентов от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.

3.2.3.2. Сильное воздействие - задержки в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:

непоступление в рамках операционного дня в течение периода времени от одного часа до двух часов (включительно) в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;

доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 50 процентов, но меньше 75 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;

непоступление в течение периода времени от тридцати минут до одного часа (включительно) в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП для исполнения с использованием СБП;

доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 50 процентов, но меньше 75 процентов (включительно) от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.

3.2.3.3. Среднее воздействие - нарушения в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:

непоступление в рамках операционного дня в течение периода времени от тридцати минут до одного часа (включительно) в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;

доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 25 процентов, но меньше 50 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;

непоступление в течение периода времени от пятнадцати минут до тридцати минут (включительно) в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП для исполнения с использованием СБП;

доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 25 процентов, но меньше 50 процентов (включительно) от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.

3.2.3.4. Низкое воздействие - перебои в выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:

непоступление в рамках операционного дня в течение периода времени от пятнадцати минут до тридцати минут (включительно) в ПС хотя бы одного распоряжения от участников ПС для исполнения с использованием сервиса срочного перевода и (или) сервиса несрочного перевода;

доля количества распоряжений, исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием сервиса несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 10 процентов, но меньше 25 процентов (включительно) от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от участников ПС за предыдущий календарный месяц;

непоступление в течение периода времени от четырех минут до пятнадцати минут (включительно) в ОПКЦ внешней платежной системы хотя бы одного распоряжения от участников ПС и (или) непоступление хотя бы одного поручения для СБП для исполнения с использованием СБП;

доля количества распоряжений, исполненных более чем за тридцать секунд с использованием СБП до момента восстановления надлежащего оказания УПИ, превысила 10 процентов, но меньше 25 процентов (включительно) от значения медианы количества исполненных с использованием СБП в течение суток распоряжений, поступивших от участников ПС за предыдущий календарный месяц.

3.2.3.5. Незначительное воздействие - перебои в осуществлении отдельных процедур при выполнении функций Банка России в части оказания УПИ в рамках ПС при выполнении хотя бы одного условия:

доля количества распоряжений, поступивших от одного участника ПС и исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 2 процента от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от указанного участника ПС за предыдущий календарный месяц;

доля количества распоряжений, поступивших от двух и более участников ПС и исполненных более чем за пять минут с использованием сервиса срочного перевода и (или) более чем за тридцать пять минут с использованием несрочного перевода до момента восстановления надлежащего оказания УПИ, превысила 5 процентов от значения медианы количества исполненных с использованием сервиса срочного перевода и (или) сервиса несрочного перевода в течение операционного дня распоряжений, поступивших от указанных участников ПС за предыдущий календарный месяц;

количество распоряжений, поступивших от одного участника ПС и исполненных более чем за тридцать секунд до момента восстановления надлежащего оказания УПИ, превысила 5 000 распоряжений, поступивших от указанного участника ПС в течение суток для исполнения с использованием СБП;

количество распоряжений, поступивших от двух и более участников ПС и исполненных более чем за тридцать секунд до момента восстановления надлежащего оказания УПИ, превысила 15 000 распоряжений, поступивших от указанных участников ПС в течение суток для исполнения с использованием СБП.

3.2.4. Решение о применении мер реагирования по выявленным рискам должно приниматься в зависимости от расположения рисков на карте рисков, предусмотренной в приложении 3 к настоящему Положению.

Для рисков, расположенных в I зоне карты рисков, решение о применении мер реагирования должно приниматься на уровне руководителя ПУРиН, во II зоне - на уровне владельца бизнес-процесса, в III зоне - на уровне курирующего руководителя Банка России.

3.2.5. Проведение самооценки должно осуществляться с использованием в том числе следующей информации:

сведений, представленных работниками Банка России и работниками ОПКЦ внешней платежной системы;

результатов мониторинга уровней значимых рисков;

результатов анализа эффективности управления рисками в ПС и эффективности управления непрерывностью функционирования ПС;

сведений об инцидентах;

результатов оценки СУР, проведенной Службой главного аудитора Банка России, и результатов оценки системы управления рисками ОПКЦ внешней платежной системы, проведенной подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы;

результатов оценки СУР, в том числе методики анализа рисков, проведенной Комитетом;

результатов мероприятий, проведенных органами государственного контроля (надзора).

3.2.6. План ОНиВД как мера реагирования должен разрабатываться в соответствии с требованиями, приведенными в приложении 6 к настоящему Положению, а также с учетом следующего:

сценарии, включенные в план ОНиВД, должны разрабатываться в отношении значимых операционных рисков, для которых в качестве мер реагирования предусматривается разработка плана ОНиВД;

план ОНиВД должен состоять из иерархически взаимосвязанных планов, каждый из которых регламентирует деятельность ПУРиН, ПУРиН внешней платежной системы или подразделения, руководителем которого является владелец бизнес-процесса, в пределах их компетенции при обеспечении надлежащего оказания УПИ.

3.2.7. Самооценка должна проводиться в сроки, установленные организационно-распорядительным документом Банка России (далее - плановая самооценка), или по решению владельца бизнес-процесса (далее - внеплановая самооценка).

Внеплановая самооценка должна проводиться в срок, не превышающий 6 месяцев со дня принятия решения владельцем бизнес-процесса о проведении самооценки.

3.2.8. Внеплановую полную самооценку следует проводить в отношении всех значимых рисков в случаях, требующих пересмотра профиля рисков в ПС, уровней значимых рисков и мер реагирования, в том числе при изменениях в бизнес-процессе, и (или) во внешней, и (или) внутренней среде, которые могут оказать влияние на надлежащее оказание УПИ, а также в случае возникновения инцидента, для которого не предусмотрено описание значимого риска в профиле рисков в ПС и реализация которого привела к приостановлению оказания УПИ. О принятом решении о проведении внеплановой полной самооценки владелец бизнес-процесса обязан проинформировать работников УРСУР и риск-координатора СБП внешней платежной системы не позднее рабочего дня, следующего за датой ее начала.

3.2.9. Внеплановую частичную самооценку следует проводить в отношении значимых рисков в случаях, требующих пересмотра их описания, в том числе когда результаты мониторинга уровней значимых рисков свидетельствуют о более высоком уровне риска по сравнению с данными последней самооценки, о неэффективности (недостаточности) применяемых мер реагирования или о наличии значимых рисков, которые в ходе последней самооценки не были идентифицированы как значимые.

3.2.10. По результатам проведенной самооценки риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы, риск-координатор СБП внешней платежной системы должны заполнить профиль рисков в ПС в части своей компетенции, риск-координаторы бизнес-процесса должны составить профиль рисков в ПС. Профиль рисков составляется в соответствии с приложением 7 к настоящему Положению.

Профиль рисков в ПС, а также допустимые уровни значимых рисков должны согласовываться владельцем бизнес-процесса и утверждаться Комитетом.

Профиль рисков в ПС должен храниться риск-координаторами бизнес-процесса в бумажной форме не менее двух лет со дня его составления и (или) актуализации.

3.3. Мониторинг уровней значимых рисков должен обеспечивать выявление существенных изменений уровней остаточных рисков.

Мониторинг уровней значимых рисков должен проводиться в соответствии с приложением 2 к настоящему Положению, а также на основе следующих мероприятий.

3.3.1. По результатам мониторинга уровней значимых рисков должно обеспечиваться доведение до руководителей, указанных в пункте 2.1 настоящего Положения, и до руководителей ОПКЦ внешней платежной системы в части, относящейся к их компетенции, информации о повышении уровней остаточных рисков до и выше допустимого.

3.3.2. Дополнительные КИР должны разрабатываться с учетом следующей информации:

требований законодательства Российской Федерации, нормативных и иных актов Банка России, регламентирующих функционирование ПС;

данных последних самооценок;

сведений об инцидентах;

результатов мониторинга уровней значимых рисков;

другой информации, свидетельствующей о целесообразности разработки (отмены) дополнительных КИР.

3.3.3. Дополнительные КИР могут разрабатываться для мониторинга уровня одного значимого риска или одновременного мониторинга уровней нескольких значимых рисков. Для мониторинга уровня одного значимого риска может быть разработано несколько разных КИР.

3.4. В целях управления значимыми рисками должны использоваться следующие меры реагирования, являющиеся способами управления рисками:

осуществление расчета в ПС до конца операционного дня;

обеспечение возможности предоставления внутридневного кредита и кредита овернайт;

осуществление перевода за счет денежных средств, находящихся на счетах участников ПС, в том числе с учетом лимита внутридневного кредита и кредита овернайт, а также за счет денежных средств, объединенных в пул ликвидности;

изменение последовательности расположения распоряжений участников ПС во внутридневной очереди;

прием распоряжений на бумажном носителе и отчуждаемых машинных носителях информации.

В целях повышения эффективности управления значимыми рисками могут применяться дополнительные меры реагирования, направленные на обеспечение эффективности управления значимыми рисками с учетом того, что не должен уменьшаться суммарный положительный эффект от применения мер реагирования.

Эффект от применения дополнительной меры реагирования должен признаваться положительным, в случае если уровень воздействия от реализации значимого риска ниже уровня воздействия до применения иной меры реагирования или если вероятность реализации значимого риска ниже вероятности реализации до применения иной меры реагирования.

3.5. Оценка эффективности управления рисками в ПС и эффективности управления непрерывностью функционирования ПС должна осуществляться на ежегодной основе посредством сопоставления времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ, установленного в пункте 1.2 настоящего Положения, с фактическим временем за период с даты окончания последней плановой (полной внеплановой) самооценки.

При двукратном и более превышении установленного в пункте 1.2 настоящего Положения времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ управление значимыми рисками и управление непрерывностью функционирования ПС признается неэффективным. В иных случаях управление значимыми рисками и управление непрерывностью функционирования ПС признается эффективным.

Глава 4. Управление непрерывностью функционирования платежной системы Банка России

4.1. Управление непрерывностью функционирования ПС должно осуществляться посредством выявления сведений об инцидентах, регистрации инцидентов, оценки влияния на БФПС каждого инцидента, оценки влияния на БФПС всех инцидентов, а также применения ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов.

4.2. Выявление сведений об инцидентах должно проводиться на основании информации о нарушении надлежащего оказания УПИ, полученной от работников ПУРиН, работников ПУРиН внешней платежной системы и работников структурных подразделений Банка России.

Работники ПУРиН, работники ПУРиН внешней платежной системы должны осуществлять контроль выполнения сроков процедур приема к исполнению, определения платежных клиринговых позиций и исполнения распоряжений участников ПС в соответствии с Регламентом выполнения процедур, приведенным в приложении 1 к настоящему Положению.

4.3. Регистрация инцидентов должна осуществляться посредством сбора и обработки следующих сведений о них:

время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);

краткое описание инцидента (характеристика произошедшего инцидента и его негативных (неблагоприятных) последствий);

наименование взаимосвязанных последовательных технологических процедур, выполняемых при оказании УПИ, в ходе которых произошел инцидент;

наименование бизнес-процесса Банка России, на который оказал влияние инцидент;

наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;

влияние инцидента на БФПС;

степень влияния инцидента на функционирование ПС в зависимости от количества неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС и иных факторов;

время и дата восстановления оказания УПИ в случае приостановления их оказания;

мероприятия по устранению инцидента и его негативных последствий с указанием планируемой и фактической продолжительности проведения данных мероприятий;

дата и время восстановления надлежащего оказания УПИ;

негативные (неблагоприятные) последствия инцидента, в том числе:

сумма денежных средств, уплаченных Банком России и (или) взысканных с Банка России;

сумма денежных средств, уплаченных ОПКЦ внешней платежной системы и (или) взысканных с ОПКЦ внешней платежной системы;

количество неисполненных и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, на исполнение которых оказал влияние инцидент;

продолжительность приостановления оказания УПИ.

4.4. Оценка влияния на БФПС каждого инцидента должна проводиться в течение двадцати четырех часов с момента его возникновения (выявления), а также в течение двадцати четырех часов после устранения инцидента (восстановления надлежащего оказания УПИ).

4.4.1. Инцидент должен признаваться непосредственно не влияющим на БФПС (влияющим опосредованно), в случае если не нарушен пороговый уровень индикатора продолжительности восстановления оказания УПИ (далее - КИР 1), индикатора непрерывности оказания УПИ (далее - КИР 2).

4.4.2. Инцидент должен признаваться влияющим на БФПС, в случае если вследствие данного инцидента реализовано хотя бы одно из следующих условий:

нарушен Регламент выполнения процедур, представленный в приложении 1, при одновременном нарушении порогового уровня КИР 2;

нарушен пороговый уровень КИР 1;

превышена установленная продолжительность восстановления надлежащего оказания УПИ, определенная в пункте 1.2 настоящего Положения.

4.4.3. В случае выявления дополнительных обстоятельств в отношении инцидента, оценка влияния которого на БФПС уже завершена, должна быть проведена повторная оценка влияния произошедшего инцидента на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.

4.5. Оценка влияния на БФПС всех инцидентов должна проводиться на ежемесячной основе не позднее пяти рабочих дней после дня окончания отчетного календарного месяца.

4.5.1. Инциденты, произошедшие в отчетном месяце, должны признаваться непосредственно не влияющими на БФПС (влияющими опосредованно), если расчетное значение индикатора соблюдения Регламента выполнения процедур (далее - КИР 3), и (или) индикатора доступности операционного центра (далее - КИР 4), и (или) индикатора изменения частоты инцидентов, произошедших в ПС (далее - КИР 5), нарушает пороговый уровень за отчетный месяц, за исключением случая, когда расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.

4.5.2. Инциденты, произошедшие в отчетном месяце, должны признаваться влияющими на БФПС, если расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.

4.5.3. В случае выявления инцидентов или дополнительных обстоятельств в отношении инцидентов, произошедших в ПС в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, должна быть инициирована повторная оценка влияния произошедших инцидентов на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.

4.6. Применение ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов должно осуществляться для:

локализации и предотвращения развития негативных (неблагоприятных) последствий реализации значимого риска, в отношении которых ответные меры необходимо применять незамедлительно;

восстановления оказания УПИ в случае их приостановления;

восстановления надлежащего оказания УПИ.

Глава 5. Организация взаимодействия Банка России, операционного платежного клирингового центра внешней платежной системы и участников платежной системы Банка России по обеспечению бесперебойности ее функционирования

5.1. Банк России должен информировать участников ПС о приостановлении и восстановлении оказания УПИ в течение тридцати минут после выявления инцидента, который привел к приостановлению оказания УПИ, и после восстановления оказания УПИ посредством размещения на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - официальный сайт) следующей информации:

время приостановления (восстановления) оказания УПИ;

причины приостановления (прекращения) оказания УПИ;

предполагаемое время восстановления оказания УПИ в случае приостановления оказания УПИ.

При отсутствии технической возможности размещения информации на официальном сайте Банк России должен информировать в течение тридцати минут после выявления инцидента, который привел к приостановлению оказания УПИ, и после восстановления оказания УПИ участников ПС с использованием одного из способов взаимодействия с клиентом, определенным комплексным договором банковского обслуживания.

5.2. Взаимодействие Банка России и ОПКЦ внешней платежной системы по обеспечению БФПС должно осуществляться с учетом следующего.

5.2.1. При осуществлении деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, взаимодействие Банка России и ОПКЦ внешней платежной системы должно осуществляться (за исключением обмена информацией об инцидентах, связанных с работой информационных систем, обеспечивающих функционирование ПС) посредством направления с использованием личного кабинета, предусмотренного статьей 35.1 Федерального закона "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423), в том числе следующей информации:

профиль рисков ОПКЦ внешней платежной системы, составленный в соответствии с приложением 7 к настоящему Положению;

дополнительные КИР, предлагаемые риск-координатором СБП внешней платежной системы для мониторинга значимых рисков ОПКЦ внешней платежной системы, представленные в соответствии с приложением 8 к настоящему Положению;

рассчитанные значения КИР 1 и КИР 2, представленные в соответствии с приложением 9 к настоящему Положению не позднее следующего рабочего дня после дня расчета КИР 1 и КИР 2;

рассчитанные на ежемесячной основе значения КИР 3, КИР 4 и КИР 5, дополнительных КИР (при их наличии), представленные в соответствии с приложением 9 к настоящему Положению не позднее третьего рабочего дня после дня окончания календарного месяца, в котором возникли инциденты;

сведения об инциденте в соответствии с требованиями пункта 4.3 настоящего Положения в течение тридцати минут после его выявления ОПКЦ внешней платежной системы.

5.2.2. При осуществлении деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, взаимодействие Банка России и ОПКЦ внешней платежной системы в части обмена информацией об инцидентах, связанных с работой информационных систем, обеспечивающих функционирование ПС, осуществляется в соответствии с договором о взаимодействии платежных систем.

Глава 6. Контроль за соблюдением операционным платежным клиринговым центром внешней платежной системы порядка обеспечения бесперебойности функционирования платежной системы Банка России

6.1. Банк России должен контролировать соблюдение ОПКЦ внешней платежной системы порядка обеспечения БФПС посредством рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП (далее - документы по БФПС внешней платежной системы) на предмет их соответствия требованиям глав 2, 3 и 4 настоящего Положения.

6.2. Риск-координатор СБП внешней платежной системы должен направлять документы по БФПС внешней платежной системы, вносимые в них изменения на рассмотрение в Банк России владельцу бизнес-процесса с приложением заключения о соответствии, содержащего следующую информацию:

наименование документа по БФПС внешней платежной системы;

обоснование необходимости внесения изменений (в случае внесения изменений);

список изменений с указанием разделов и пунктов, содержащих изменения (в случае внесения изменений);

планируемый срок вступления в силу документа по БФПС внешней платежной системы или подготовленных изменений;

вывод о соответствии документа по БФПС, изменений, вносимых в него (в случае внесения изменений), настоящему Положению;

наименование структурного подразделения ОПКЦ внешней платежной системы, разработавшего документ по БФПС внешней платежной системы или изменения.

6.3. Владелец бизнес-процесса должен в течение трех рабочих дней после дня получения документов по БФПС внешней платежной системы и заключений о соответствии направить их на рассмотрение риск-координаторам бизнес-процесса.

6.4. Риск-координаторы бизнес-процесса в течение десяти рабочих дней после дня получения документов, указанных в пункте 6.3 настоящего Положения, должны рассмотреть и подтвердить их соответствие требованиям настоящего Положения или сформировать перечень выявленных несоответствий, а также предложений по их устранению (далее - результаты рассмотрения документов по БФПС внешней платежной системы).

6.5. Риск-координаторы бизнес-процесса направляют результаты рассмотрения документов по БФПС внешней платежной системы владельцу бизнес-процесса на утверждение.

Владелец бизнес-процесса в течение трех рабочих дней после дня получения результатов рассмотрения документов по БФПС внешней платежной системы утверждает их либо направляет риск-координаторам бизнес-процесса замечания.

Риск-координаторы бизнес-процесса осуществляют пересмотр результатов рассмотрения документов по БФПС внешней платежной системы по полученным от владельца бизнес-процесса замечаниям в течение двух рабочих дней и повторно направляют их владельцу бизнес-процесса, который осуществляет их повторное рассмотрение в сроки, указанные в абзаце втором настоящего пункта.

6.6. Риск-координаторы бизнес-процесса не позднее рабочего дня, следующего за днем утверждения владельцем бизнес-процесса результатов рассмотрения документов по БФПС внешней платежной системы, направляют результаты рассмотрения риск-координатору СБП внешней платежной системы.

6.7. Риск-координатор СБП внешней платежной системы в случае выявления риск-координаторами бизнес-процесса несоответствий документов по БФПС внешней платежной системы требованиям глав 2, 3 и (или) 4 настоящего Положения должен обеспечить внесение соответствующих изменений в указанные документы согласно предложениям по их устранению и повторно направить документы по БФПС внешней платежной системы на рассмотрение в Банк России.

Глава 7. Заключительные положения

7.1. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 23 октября 2020 года N ПСД-24) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлен иной срок вступления их в силу.

Пункты 3.3, 4.3, 4.4 и 4.5 настоящего Положения и приложение 2 к настоящему Положению вступают в силу с 1 октября 2022 года.

Примечания.

1. Общим временем оказания УПИ для сервиса срочного перевода признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, включая контроль достаточности денежных средств, находящихся на банковском (корреспондентском) счете (субсчете) (на нескольких банковских (корреспондентских) счетах (субсчетах), денежные средства на которых объединены в пул ликвидности) участника ПС (далее - контроль достаточности денежных средств) (при этом отсутствует необходимость помещения распоряжения во внутридневную очередь, в очередь распоряжений, ожидающих разрешения на проведение операций, в очередь распоряжений, ожидающих проверки, очередь распоряжений, ожидающих даты исполнения, очередь не исполненных в срок распоряжений, очередь распоряжений, ожидающих акцепта, и очередь распоряжений, требующих выполнения условий перевода денежных средств) и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего пяти минут.

2. Общим временем оказания УПИ для сервиса срочного перевода признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, за исключением контроля достаточности денежных средств, и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего двадцати пяти минут без учета времени нахождения указанного распоряжения во внутридневной очереди, в очереди распоряжений, ожидающих разрешения на проведение операций, очереди распоряжений, ожидающих проверки, очереди распоряжений, ожидающих даты исполнения, очереди не исполненных в срок распоряжений, очереди распоряжений, ожидающих акцепта, и очереди распоряжений, требующих выполнения условий перевода денежных средств.

3. Общим временем оказания УПИ для сервиса несрочного перевода признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, включая контроль достаточности денежных средств, с учетом времени нахождения указанного распоряжения во внутридневной очереди до начала ближайшего несрочного рейса (при этом отсутствует необходимость помещения распоряжения в очередь распоряжений, ожидающих разрешения на проведение операций, очередь распоряжений, ожидающих проверки, очередь распоряжений, ожидающих даты исполнения, очередь не исполненных в срок распоряжений, очередь распоряжений, ожидающих акцепта, и очередь не исполненных в срок распоряжений) и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего тридцати пяти минут.

4. Общим временем оказания УПИ для сервиса несрочного перевода признается оказание УПИ при переводе денежных средств через ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, за исключением контроля достаточности денежных средств, с учетом времени нахождения указанного распоряжения во внутридневной очереди до начала ближайшего несрочного рейса, но без учета времени нахождения указанного распоряжения во внутридневной очереди по иным причинам, в очереди распоряжений, ожидающих разрешения на проведение операций, очереди распоряжений, ожидающих проверки, очереди распоряжений, ожидающих даты исполнения, очереди не исполненных в срок распоряжений, очереди распоряжений, ожидающих акцепта, и очереди не исполненных в срок распоряжений и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего пятидесяти пяти минут (максимальное время на осуществление обмена электронными сообщениями, выполнение процедур приема к исполнению и исполнение распоряжения участника ПС, в том числе на направление участнику ПС извещения о списании денежных средств).

5. Общим временем оказания УПИ для СБП признается оказание УПИ при переводе денежных средств в ПС на основании распоряжения, по которому процедуры операционной услуги, процедура приема к исполнению, включая контроль достаточности денежных средств, и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего тридцати секунд.

1. В рамках мониторинга уровней значимых рисков осуществляется:

расчет КИР, дополнительных КИР;

реагирование на нарушение порогового уровня КИР;

актуализация информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования;

разработка дополнительных КИР;

отмена дополнительных КИР.

2. Для осуществления мониторинга уровней значимых рисков в ПС должны применяться в том числе следующие КИР (показатели БФПС):

индикатор продолжительности восстановления оказания УПИ (КИР 1);

индикатор непрерывности оказания УПИ (КИР 2);

индикатор соблюдения Регламента выполнения процедур (КИР 3);

индикатор доступности операционного центра (КИР 4);

индикатор изменения частоты инцидентов, произошедших в ПС (КИР 5).

2.1. КИР 1 должен рассчитываться по каждому из инцидентов как период времени с момента выявления инцидента до момента восстановления оказания УПИ (далее - момент устранения последствий инцидента).

Пороговый уровень КИР 1 равен двум часам.

В случае если значение КИР 1 превышает два часа, произошло нарушение порогового уровня КИР 1. КИР 1 рассчитывается в часах (минутах) (секундах).

При этом, если в течение дня произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность восстановления оказания УПИ определяется как разница между моментом устранения последствий последнего инцидента и моментом выявления первого инцидента из них.

2.2. КИР 2 должен рассчитываться по каждому из инцидентов как период времени между двумя последовательно произошедшими инцидентами, с момента устранения последствий первого инцидента и до момента выявления следующего инцидента.

Пороговый уровень КИР 2 равен двадцати четырем часам.

В случае если значение КИР 2 менее двадцати четырех часов, произошло нарушение порогового уровня КИР 2. КИР 2 рассчитывается в часах (минутах) (секундах).

При этом, если произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность непрерывности оказания УПИ определяется как разница между моментом выявления следующего инцидента и моментом устранения последствий последнего из пересекающихся инцидентов и.

2.3. КИР 3 должен рассчитываться ежемесячно как отношение количества распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ без нарушения регламента выполнения процедур, указанного в приложении 1 к настоящему Положению, к общему количеству распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ, по формуле:

КИР 3 = (N / Nобщ) x 100%,

где:

N - количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ без нарушения временных интервалов, указанных в приложении 1 к настоящему Положению, в течение оцениваемого календарного месяца;

Nобщ - общее количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ, в течение оцениваемого календарного месяца.

КИР 3 для сервиса срочного перевода, сервиса несрочного перевода и СБП рассчитывается индивидуально.

Пороговый уровень КИР 3 для сервиса срочного перевода и сервиса несрочного перевода равен 99,73 процента.

Пороговый уровень КИР 3 для СБП равен 99,9 процента.

В случае если значение КИР 3 менее 99,73 процента, при предоставлении сервиса срочного перевода и (или) сервиса несрочного перевода произошло нарушение порогового уровня КИР 3.

В случае если значение КИР 3 менее 99,9 процента, при предоставлении СБП произошло нарушение порогового уровня КИР 3.

2.4. КИР 4 должен рассчитываться ежемесячно как среднее значение коэффициента доступности ОПКЦ внешней платежной системы за оцениваемый календарный месяц по формуле: