ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ
от 29 сентября 2016 г. N 4144-У

О ТРЕБОВАНИЯХ
К СИСТЕМЕ УПРАВЛЕНИЯ РИСКАМИ, СВЯЗАННЫМИ С ОСУЩЕСТВЛЕНИЕМ
РЕПОЗИТАРНОЙ ДЕЯТЕЛЬНОСТИ, И ПРАВИЛАМ УПРАВЛЕНИЯ
РИСКАМИ РЕПОЗИТАРИЯ

Настоящее Указание на основании пункта 5 статьи 15.7 Федерального закона от 22 апреля 1996 года N 39-ФЗ "О рынке ценных бумаг" (Собрание законодательства Российской Федерации, 1996, N 17, ст. 1918; 2001, N 33, ст. 3424; 2002, N 52, ст. 5141; 2004, N 27, ст. 2711; N 31, ст. 3225; 2005, N 11, ст. 900; N 25, ст. 2426; 2006, N 1, ст. 5; N 2, ст. 172; N 17, ст. 1780; N 31, ст. 3437; N 43, ст. 4412; 2007, N 1, ст. 45; N 18, ст. 2117; N 22, ст. 2563; N 41, ст. 4845; N 50, ст. 6247; 2008, N 52, ст. 6221; 2009, N 1, ст. 28; N 18, ст. 2154; N 23, ст. 2770; N 29, ст. 3642; N 48, ст. 5731; N 52, ст. 6428; 2010, N 17, ст. 1988; N 31, ст. 4193; N 41, ст. 5193; 2011, N 7, ст. 905; N 23, ст. 3262; N 29, ст. 4291; N 48, ст. 6728; N 49, ст. 7040; N 50, ст. 7357; 2012, N 25, ст. 3269; N 31, ст. 4334; N 53, ст. 7607; 2013, N 26, ст. 3207; N 30, ст. 4043, ст. 4082, ст. 4084; N 51, ст. 6699; N 52, ст. 6985; 2014, N 30, ст. 4219; 2015, N 1, ст. 13; N 14, ст. 2022; N 27, ст. 4001; N 29, ст. 4348, ст. 4357; 2016, N 1, ст. 50, ст. 81; N 27, ст. 4225) (далее - Федеральный закон "О рынке ценных бумаг") устанавливает требования к системе управления рисками, связанными с осуществлением репозитарной деятельности (далее - риски репозитария), и правилам управления рисками репозитария.

Глава 1. Общие положения

1.1. Репозитарий должен организовать систему управления рисками в соответствии с законодательством Российской Федерации, в том числе настоящим Указанием, нормативными правовыми актами Российской Федерации и нормативными актами Банка России, устанавливающими требования к системе управления рисками, связанными с осуществлением видов деятельности, с которыми совмещается репозитарная деятельность, в части, не противоречащей требованиям настоящего Указания, с учетом особенностей, установленных абзацем вторым настоящего пункта.

Репозитарий, являющийся организацией, совмещающей свою деятельность с деятельностью кредитной организации, должен руководствоваться Указанием Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325 ("Вестник Банка России" от 15 июня 2015 года N 51, от 31 декабря 2015 года N 122), Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 ("Вестник Банка России" от 4 февраля 2004 года N 7, от 31 декабря 2004 года N 74, от 1 апреля 2009 года N 21, от 9 июля 2014 года N 63), абзацем вторым пункта 1.2, абзацами вторым и третьим пункта 1.4, абзацем третьим пункта 1.5, главой 2, абзацем вторым подпункта 3.2.1, подпунктами 3.2.2, 3.2.4, 3.2.6, 3.2.8 пункта 3.2 настоящего Указания, а также в соответствии с требованиями главы 5 настоящего Указания должен разработать правила управления рисками репозитария, содержание которых определяется с учетом указанных выше нормативных актов, а также указанных выше требований настоящего Указания.

1.2. В рамках организации системы управления рисками репозитарий должен обеспечить осуществление мероприятий, предусмотренных настоящим Указанием, в том числе выявление, мониторинг и оценку рисков, предусмотренных главами 2 - 4 настоящего Указания (далее - значимые риски), при оказании репозитарием услуг, определенных пунктом 1 статьи 15.5 Федерального закона "О рынке ценных бумаг" (далее - репозитарные услуги), а также иных рисков, реализация которых может привести к потере финансовой устойчивости репозитария и (или) нарушению непрерывности деятельности по оказанию репозитарных услуг, и (или) иным неблагоприятным последствиям, которые могут привести к невозможности оказания репозитарных услуг, а также управление указанными рисками.

Система управления рисками репозитария должна обеспечивать управление как рисками репозитария, так и рисками, возникающими при осуществлении видов деятельности, с которыми совмещается репозитарная деятельность.

В случае привлечения репозитарием третьих лиц для выполнения отдельных операций, необходимых для осуществления репозитарной деятельности, система управления рисками репозитария должна обеспечивать управление рисками, связанными с привлечением третьих лиц.

1.3. Репозитарий в рамках системы управления рисками должен назначить должностное лицо или сформировать отдельное структурное подразделение, ответственное за управление рисками репозитария, за исключением риска возникновения убытков репозитария в результате несоблюдения им законодательства Российской Федерации, внутренних документов репозитария, применения в отношении репозитария санкций и (или) иных мер воздействия со стороны надзорных органов (далее - регуляторный риск), выявление, мониторинг и оценка которого, а также управление которым должны осуществляться должностным лицом (структурным подразделением), ответственным за осуществление внутреннего контроля репозитария.

Должностное лицо (руководитель структурного подразделения), ответственное (ответственный) за управление рисками, связанными с осуществлением деятельности, с которой совмещается репозитарная деятельность, может быть назначено (назначен) ответственным за управление рисками репозитария с возложением на него функций организации управления рисками репозитария и управления ими.

1.4. Должностное лицо (руководитель отдельного структурного подразделения), ответственное (ответственный) за организацию системы управления рисками репозитария, не может осуществлять функции, которые не связаны с управлением или организацией управления рисками репозитария и (или) рисками, возникающими при осуществлении видов деятельности, с которыми совмещается репозитарная деятельность.

Должностное лицо (руководитель структурного подразделения), ответственное (ответственный) за управление рисками репозитария (далее - должностное лицо), должно быть подотчетно совету директоров (наблюдательному совету) репозитария.

Должностное лицо должно регулярно, но не реже одного раза в шесть месяцев, представлять совету директоров (наблюдательному совету) репозитария отчеты в рамках организации системы управления рисками, в том числе об управлении значимыми рисками, за исключением регуляторного риска (далее - отчеты об управлении рисками репозитария).

1.5. Репозитарий в рамках организации системы управления рисками репозитария должен обеспечить:

разработку правил управления рисками репозитария в соответствии с требованиями настоящего Указания;

проведение оценки эффективности функционирования системы управления рисками репозитария, в том числе для целей принятия решений по вопросам развития (совершенствования) системы управления рисками репозитария, по мере необходимости, но не реже одного раза в год.

Глава 2. Требования к организации управления и управлению коммерческим риском репозитария

2.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке рисков возникновения убытков и (или) иных неблагоприятных последствий, которые могут оказать негативное воздействие на финансовую устойчивость репозитария и возможность продолжать оказывать репозитарные услуги, в том числе вследствие неэффективной реализации бизнес-стратегии репозитария и (или) возникновения непредвиденных расходов в ходе оказания репозитарных услуг (далее - коммерческий риск), а также управлению коммерческим риском.

2.2. Меры по выявлению коммерческого риска репозитария должны обеспечивать определение репозитарием источников коммерческого риска, оценку их влияния на финансовую устойчивость репозитария, а также возможность продолжать оказывать репозитарные услуги и должны осуществляться с использованием:

процедур оценки вероятности наступления событий риска и их возможных последствий, в том числе с использованием данных о размере убытков, понесенных в связи с реализацией коммерческого риска за предшествующий период деятельности;

сценарного анализа, предусматривающего оценку влияния различных сценариев и отдельных параметров сценариев на финансовую устойчивость репозитария и возможность осуществления репозитарных услуг.

2.3. Меры по мониторингу, оценке коммерческого риска и управлению коммерческим риском репозитария осуществляются в соответствии с законодательством Российской Федерации с учетом требований к мониторингу, оценке коммерческого риска и управлению им при осуществлении некредитными финансовыми организациями соответствующих видов деятельности, с которыми совмещается репозитарная деятельность, и должны обеспечивать в том числе следующее:

снижение вероятности наступления убытков и (или) иных неблагоприятных последствий, связанных с реализацией коммерческого риска, в том числе в случае возникновения неблагоприятных экономических условий, которые могут повлиять на возможность репозитария оказывать репозитарные услуги;

определение возможности и целесообразности снижения или принятия коммерческого риска и управление им, в том числе в условиях изменения экономической ситуации.

Глава 3. Требования к организации управления и управлению операционным риском репозитария

3.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке риска ухудшения или прекращения оказания репозитарных услуг вследствие недостатков, нарушений, сбоев в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибок работников репозитария и (или) внешних событий, оказывающих негативное воздействие на деятельность по оказанию репозитарных услуг (далее - операционный риск), а также управлению операционным риском.

3.2. В рамках выявления, мониторинга и оценки операционного риска, а также управления им репозитарий должен разработать и осуществлять следующие меры.

3.2.1. Определить меры по выявлению источников операционного риска, в рамках которых репозитарий должен учитывать внутренние источники операционного риска, в том числе недостатки, нарушения, сбои в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибки работников репозитария, а также внешние источники операционного риска, в том числе сбои в работе поставщиков телекоммуникационных услуг, обеспечивающих функционирование репозитария, и иные внешние события и обстоятельства, включая события природного, политического, экономического характера, которые могут оказать негативное воздействие на деятельность по оказанию репозитарных услуг.

Для целей выявления внутренних источников операционного риска репозитарий должен выделить бизнес-процессы (их отдельные сегменты), сбои в работе которых могут привести к ухудшению или прекращению оказания репозитарных услуг.

Репозитарий должен анализировать и выявлять возможные новые источники операционного риска, в том числе связанные с развитием информационных технологий, в целях их учета при мониторинге и оценке операционного риска репозитария, а также управления им.

3.2.2. Определить целевые показатели операционной надежности репозитария, обеспечивающие бесперебойность оказания репозитарных услуг, а также конфиденциальность, целостность и сохранность данных, доступ к данным на постоянной основе.

При определении целевых показателей операционной надежности репозитарий должен учитывать как количественные, так и качественные критерии операционной надежности репозитария.

Репозитарий должен оценивать выполнение целевых показателей операционной надежности не реже одного раза в шесть месяцев и предоставлять информацию о результатах оценки совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария.

Репозитарий должен анализировать целевые показатели операционной надежности не реже одного раза в год и при необходимости актуализировать их, в том числе с учетом развития новых технологий и совершенствования бизнес-процессов репозитарной деятельности.

3.2.3. Обеспечить ведение базы данных о событиях операционного риска, включающей в том числе описание событий операционного риска, результаты их анализа, принятые по ним решения в рамках управления операционным риском.

3.2.4. Использовать комплексы программно-технических средств для оказания репозитарных услуг, обеспечивающие бесперебойную деятельность репозитария и возможность оперативно обрабатывать объем информации при оказании репозитарных услуг и оперативно управлять информацией, получаемой репозитарием при оказании репозитарных услуг.

Репозитарий должен составлять прогнозную оценку возможного изменения объемов проводимых репозитарием операций и разрабатывать планы мер, обеспечивающих оказание репозитарных услуг в условиях возможного увеличения объемов операций и (или) при необходимости изменения технических параметров комплексов программно-технических средств.

Репозитарий должен проводить тестирование (в том числе стресс-тестирование) комплексов программно-технических средств с периодичностью, установленной правилами управления рисками репозитария, но не реже одного раза в год, а также в случаях изменений бизнес-процессов, связанных с оказанием репозитарных услуг, и после событий операционного риска, в результате наступления которых с учетом степени их влияния на результаты и качество осуществления репозитарной деятельности репозитарий не сможет оказывать репозитарные услуги в соответствии с требованиями к репозитарной деятельности.

3.2.5. Определить меры, направленные на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности, обеспечивающие сохранность или восстановление информации в случае ее умышленного или случайного разрушения (искажения) или выхода из строя средств вычислительной техники, а также защиту комплексов программно-технических средств от внешних воздействий и угроз, которые могут привести к нарушению их работоспособности.

Меры, направленные на защиту информационных систем и комплексов программно-технических средств репозитария, должны предусматривать в том числе:

механизмы защиты на всех этапах жизненного цикла автоматизированных систем обработки информации;

учет факторов, которые могут привести к утере работоспособности комплексов программно-технических средств репозитария;

использование средств антивирусной защиты;

механизмы защиты при использовании ресурсов информационно-телекоммуникационной сети "Интернет";

механизмы защиты при определении ролей (функций) работников репозитария на этапе эксплуатации комплексов программно-технических средств;

механизмы защиты при управлении регистрацией и доступом специалистов репозитария к работе с информационными системами и программно-техническими средствами;

средства двухфакторной аутентификации при организации работы работников репозитария с информационными системами и программно-техническими средствами;

процедуры выявления инцидентов нарушения информационной безопасности и мероприятия, направленные на повышение грамотности работников репозитария по вопросам информационной безопасности.

Репозитарий должен на постоянной основе проводить мониторинг соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности.

Репозитарий должен по мере необходимости, но не реже одного раза в год, проводить анализ и оценку эффективности применяемых мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, в том числе с учетом выявленных инцидентов нарушений информационной безопасности.

Репозитарий должен предоставлять информацию о результатах мониторинга соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, а также предложения о совершенствовании мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария.

3.2.6. Организовать функционирование комплекса программно-технических средств репозитария, обеспечивающего надлежащее и бесперебойное осуществление деятельности репозитария в случае невозможности осуществления услуг репозитария основным комплексом программно-технических средств репозитария в условиях возникновения нестандартных и чрезвычайных ситуаций (далее - резервный комплекс).

Резервный комплекс должен функционально дублировать работу основного комплекса программно-технических средств репозитария для обеспечения непрерывности функционирования репозитария.

Репозитарий должен обеспечить переход на использование резервного комплекса при оказании репозитарных услуг в случае возникновения нестандартных и чрезвычайных ситуаций и невозможности обеспечения непрерывности деятельности при оказании услуг репозитария основным комплексом программно-технических средств репозитария.

В рамках обеспечения функционирования резервного комплекса репозитарий в том числе должен:

расположить резервный комплекс на территориальном удалении от основного комплекса программно-технических средств репозитария, а также обеспечить возможность работникам основного комплекса программно-технических средств репозитария осуществлять процесс репозитарной деятельности в резервном комплексе в течение срока, определенного планом обеспечения непрерывности деятельности репозитария;

обеспечить наличие независимых друг от друга генераторов электричества в основном комплексе программно-технических средств репозитария и резервном комплексе;

использовать услуги как минимум двух независимых поставщиков телекоммуникационных услуг для основного комплекса программно-технических средств репозитария и резервного комплекса;

обеспечить нахождение в резервном комплексе работников репозитария в течение рабочего времени, определенного внутренними документами репозитария, для обеспечения начала функционирования резервного комплекса и возобновления в нем осуществления репозитарных услуг в случае возникновения нестандартной или чрезвычайной ситуации;

поддерживать техническое состояние резервного комплекса, в том числе необходимое количество рабочих мест для обеспечения возможности осуществления услуг репозитария в резервном комплексе в течение как минимум 15 рабочих дней с момента возникновения нестандартной или чрезвычайной ситуации.

В случае перехода на использование резервного комплекса при оказании репозитарных услуг репозитарий должен обеспечить оказание репозитарных услуг в порядке и сроки, установленные Федеральным законом "О рынке ценных бумаг".

Репозитарий должен осуществлять ежедневное резервное копирование баз данных репозитария, в том числе из резервного комплекса (в случае перехода на его использование), а также обеспечивать сохранность копий на случай утраты (повреждения) баз данных репозитария.

3.2.7. Определить меры, обеспечивающие оказание репозитарных услуг квалифицированными работниками репозитария и предупреждение неправомерных действий со стороны работников репозитария.

3.2.8. Определить меры по выявлению дополнительного операционного риска, обусловленного взаимодействием с инфраструктурными и иными организациями финансового рынка, в том числе клиентами и поставщиками услуг, а также меры, направленные на снижение или устранение возможного негативного влияния дополнительного операционного риска при осуществлении репозитарной деятельности.

Глава 4. Требования к организации управления и управлению правовым и регуляторным рисками репозитария

4.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке рисков возникновения убытков репозитария вследствие нарушения репозитарием и (или) его контрагентами условий заключенных договоров, допускаемых репозитарием правовых ошибок при оказании репозитарных услуг, несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в деятельности репозитария), нарушения контрагентами нормативных правовых актов, нахождения контрагентов под юрисдикцией различных государств (далее - правовой риск), а также регуляторного риска и меры по управлению правовым и регуляторным рисками.

4.2. В рамках выявления, мониторинга и оценки правового риска, а также управления им репозитарий должен разработать и осуществлять следующие меры.

4.2.1. Определить меры по выявлению источников правового риска, проводить оценку его влияния на финансовую устойчивость репозитария и возможность продолжения оказания репозитарных услуг.

4.2.2. Определить меры, направленные на снижение правового риска, и осуществлять контроль их выполнения.

4.3. Меры по выявлению, мониторингу, оценке регуляторного риска и управлению им должны определяться и осуществляться должностным лицом (структурным подразделением), ответственным за осуществление внутреннего контроля репозитария.

Глава 5. Требования к правилам управления рисками репозитария

5.1. Правила управления рисками репозитария должны включать следующее:

общие положения, определяющие цели организации системы управления рисками репозитария;

перечень значимых рисков и иных рисков репозитария, реализация которых может привести к потере финансовой устойчивости репозитария и (или) нарушению деятельности по оказанию репозитарных услуг, и (или) иным неблагоприятным последствиям, которые могут привести к невозможности оказания репозитарных услуг, и их источников (по каждому виду рисков);

порядок выявления, мониторинга и оценки рисков репозитария (по каждому виду рисков, за исключением регуляторного риска);

порядок управления рисками репозитария, в том числе принятия решений репозитарием в рамках управления рисками репозитария (по каждому виду рисков, за исключением регуляторного риска);

права и обязанности органов управления репозитария, руководителей и работников структурных подразделений репозитария, в том числе должностного лица, в рамках организации управления и управления рисками репозитария;

порядок взаимодействия совета директоров (наблюдательного совета) репозитария и структурных подразделений репозитария, в том числе установление случаев и порядка обязательного информирования совета директоров (наблюдательного совета) репозитария о рисках репозитария, за исключением регуляторного риска, представления ему отчетов об управлении рисками репозитария, за исключением отчетов об управлении регуляторным риском;

перечень целевых показателей операционной надежности репозитария;

порядок формирования базы данных о событиях операционного риска;

порядок и периодичность проведения тестирования, в том числе стресс-тестирования, комплексов программно-технических средств, используемых для осуществления репозитарной деятельности;

порядок обеспечения защиты информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности;

требования к организации функционирования резервного комплекса программно-технических средств;

порядок управления рисками репозитария в случае привлечения репозитарием третьих лиц для выполнения отдельных операций репозитария;

порядок, содержание, сроки и периодичность представления отчетов об управлении рисками репозитария совету директоров (наблюдательному совету) репозитария, за исключением отчетов об управлении регуляторным риском;

порядок оценки эффективности функционирования системы управления рисками репозитария и принятия решений по вопросам развития (совершенствования) системы управления рисками репозитария.

5.2. Правила управления рисками репозитария пересматриваются по мере необходимости, но не реже одного раза в год в целях актуализации содержащихся в них сведений и (или) повышения эффективности функционирования системы управления рисками репозитария.

5.3. Правила управления рисками репозитария могут состоять из одного или нескольких документов.

Глава 6. Заключительные положения

Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования <1>.

--------------------------------

<1> Официально опубликовано на сайте Банка России 01.11.2016.

Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА