Указание Банка России от 12.09.2018 N 4905-У "О требованиях к деятельности центрального депозитария в части организации управления рисками, связанными с осуществлением деятельности центрального депозитария, а также к правилам управления рисками, связанными с осуществлением деятельности центрального депозитария" (Зарегистрировано в Минюсте России 16.11.2018 N 52702)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ
от 12 сентября 2018 г. N 4905-У

О ТРЕБОВАНИЯХ
К ДЕЯТЕЛЬНОСТИ ЦЕНТРАЛЬНОГО ДЕПОЗИТАРИЯ В ЧАСТИ
ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, СВЯЗАННЫМИ С ОСУЩЕСТВЛЕНИЕМ
ДЕЯТЕЛЬНОСТИ ЦЕНТРАЛЬНОГО ДЕПОЗИТАРИЯ, А ТАКЖЕ К ПРАВИЛАМ
УПРАВЛЕНИЯ РИСКАМИ, СВЯЗАННЫМИ С ОСУЩЕСТВЛЕНИЕМ
ДЕЯТЕЛЬНОСТИ ЦЕНТРАЛЬНОГО ДЕПОЗИТАРИЯ

Настоящее Указание в соответствии с пунктами 1 и 3 статьи 32 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (Собрание законодательства Российской Федерации, 2011, N 50, ст. 7356; 2012, N 31, ст. 4334; N 53, ст. 7607; 2013, N 27, ст. 3477; N 30, ст. 4084; 2015, N 27, ст. 4001; N 29, ст. 4357; 2018, N 17, ст. 2429) (далее - Федеральный закон "О центральном депозитарии") устанавливает требования к деятельности центрального депозитария в части организации управления рисками, связанными с осуществлением деятельности центрального депозитария (далее - риски центрального депозитария), а также к правилам управления рисками центрального депозитария (далее - правила управления рисками).

1.1. Центральный депозитарий должен организовать управление рисками центрального депозитария в соответствии с законодательством Российской Федерации, в том числе настоящим Указанием и главами 1 и 3 Указания Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированного Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, 7 декабря 2017 года N 49156, 5 сентября 2018 года N 52084 (далее - Указание Банка России N 3624-У), в части, не противоречащей требованиям настоящего Указания, устанавливающим общие требования к организации управления рисками центрального депозитария и порядок организации центральным депозитарием управления отдельными видами рисков центрального депозитария.

1.2. Центральный депозитарий должен организовать управление рисками центрального депозитария, соответствующее объему и характеру совершаемых им операций.

1.3. В рамках организации управления рисками центрального депозитария центральный депозитарий должен организовать выявление, анализ, оценку, мониторинг и контроль, а также управление рисками центрального депозитария, включая следующие виды рисков:

риск возникновения расходов (убытков) центрального депозитария в результате сбоев и (или) ошибок в работе программно-технических средств центрального депозитария и (или) во внутренних бизнес-процессах центрального депозитария, ошибок работников центрального депозитария и (или) в результате внешних событий, оказывающих негативное воздействие на деятельность центрального депозитария (оперативный риск центрального депозитария);

риск возникновения расходов (убытков) центрального депозитария в результате утраты имущества (за исключением денежных средств) центрального депозитария и (или) его клиентов вследствие банкротства или действий (бездействия) лица, ответственного за хранение этого имущества и (или) осуществление учета прав на указанное имущество, включая блокировку имущества на счете (счетах), открытом (открытых) центральному депозитарию у лица, ответственного за хранение этого имущества и (или) осуществление учета прав на указанное имущество, потерю или искажение информации об имуществе, переданном на хранение или подлежащем учету (кастодиальный риск центрального депозитария);

риск возникновения расходов (убытков) центрального депозитария вследствие неисполнения, несвоевременного либо неполного исполнения должником финансовых обязательств перед центральным депозитарием в соответствии с условиями договора (кредитный риск центрального депозитария);

риск возникновения расходов (убытков) центрального депозитария в результате изменения текущей (справедливой) стоимости финансовых инструментов, а также курсов иностранных валют и (или) учетных цен на драгоценные металлы, в которые инвестированы средства центрального депозитария (рыночный риск центрального депозитария);

риск возникновения расходов (убытков) центрального депозитария вследствие недостаточности имущества в распоряжении центрального депозитария для удовлетворения требований его кредиторов по передаче этого имущества в установленный срок (риск ликвидности центрального депозитария);

риск возникновения расходов (убытков) или приостановления (прекращения) оказания услуг центрального депозитария в результате неоднозначности толкования норм права, допускаемых центральным депозитарием правовых ошибок (в том числе, ошибок при составлении документов, при рассмотрении спорных вопросов в судебных органах), несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в деятельности центрального депозитария), нарушения клиентами (контрагентами) центрального депозитария нормативных правовых актов и (или) вследствие нахождения клиентов (контрагентов) центрального депозитария под юрисдикцией различных государств (правовой риск центрального депозитария).

1.4. Центральный депозитарий в рамках организации управления рисками центрального депозитария должен организовать осуществление мероприятий, предусмотренных главами 2 и 3 настоящего Указания, и процедур, требования к организации которых предусмотрены приложением 1 к Указанию Банка России N 3624-У, в отношении рисков центрального депозитария в части, не противоречащей требованиям настоящего Указания, устанавливающим общие требования к организации управления рисками центрального депозитария и порядок организации центральным депозитарием управления отдельными видами рисков центрального депозитария.

1.5. Центральный депозитарий в рамках организации управления рисками центрального депозитария в случае совмещения им своей деятельности с иными видами деятельности должен организовать мероприятия по снижению влияния рисков, связанных с таким совмещением, на осуществление деятельности центрального депозитария и принять меры по предотвращению и урегулированию конфликта интересов.

1.6. Центральный депозитарий в рамках организации управления рисками центрального депозитария должен назначить должностное лицо, ответственное за управление рисками центрального депозитария, и (или) сформировать отдельное структурное подразделение, ответственное за управление рисками центрального депозитария, за исключением риска возникновения у центрального депозитария расходов (убытков) и (или) иных неблагоприятных последствий в результате его несоответствия или несоответствия его деятельности требованиям законодательства Российской Федерации о центральном депозитарии, законодательства Российской Федерации о рынке ценных бумаг, базовых и внутренних стандартов саморегулируемой организации в сфере финансового рынка, членом которой является центральный депозитарий, учредительных и внутренних документов, связанных с осуществлением деятельности центрального депозитария, и (или) применения мер со стороны Банка России (регуляторный риск центрального депозитария).

Должностное лицо (руководитель отдельного структурного подразделения), ответственное (ответственный) за управление рисками центрального депозитария, по решению центрального депозитария назначается ответственным за управление рисками, возникающими при осуществлении видов деятельности, с которыми совмещается деятельность центрального депозитария, с возложением на него функций управления и (или) организации управления ими.

1.7. Должностное лицо (отдельное структурное подразделение), ответственное за управление рисками центрального депозитария, в рамках выявления рисков центрального депозитария должно осуществлять внесение выявленных рисков центрального депозитария и результатов их оценки, включая размер рисков центрального депозитария, во внутренний документ центрального депозитария (далее - реестр рисков).

Должностное лицо (отдельное структурное подразделение), ответственное за управление рисками центрального депозитария, должно вести реестр рисков в электронной форме на постоянной основе и пересматривать его с периодичностью и в порядке, которые установлены правилами управления рисками, в целях актуализации содержащихся в нем данных.

1.8. Должностное лицо (руководитель отдельного структурного подразделения), ответственное (ответственный) за управление рисками центрального депозитария, в рамках обмена информацией о рисках центрального депозитария должно организовать обмен указанной информацией между структурными подразделениями центрального депозитария и органами управления центрального депозитария с периодичностью и в порядке, которые установлены правилами управления рисками.

1.9. Должностное лицо (отдельное структурное подразделение), ответственное за управление рисками центрального депозитария, в рамках управления рисками центрального депозитария должно составлять и представлять на рассмотрение коллегиального исполнительного органа и единоличного исполнительного органа центрального депозитария ежемесячный отчет о событиях, которые привели к реализации рисков центрального депозитария, и ежеквартальный отчет о рисках центрального депозитария.

1.10. Должностное лицо (отдельное структурное подразделение), ответственное за управление рисками центрального депозитария, должно представлять на рассмотрение совета директоров (наблюдательного совета) центрального депозитария отчет, содержащий оценку рисков центрального депозитария за отчетный период и оценку эффективности деятельности по управлению такими рисками.

1.11. В случае передачи центральным депозитарием отдельных функций, связанных с осуществлением деятельности центрального депозитария, третьим лицам центральный депозитарий должен организовать управление рисками центрального депозитария, возникающими при такой передаче, и определить меры, направленные на снижение рисков центрального депозитария, возникающих в случае неисполнения указанных функций третьими лицами.

1.12. Центральный депозитарий должен хранить документы и информацию, связанные с управлением рисками центрального депозитария, не менее пяти лет с даты их создания. В случае внесения изменений во внутренние документы, связанные с управлением рисками центрального депозитария (в том числе внесения сведений в реестры), или отмены (признания утратившими силу) документов, связанных с управлением рисками центрального депозитария, центральный депозитарий должен обеспечить хранение недействующих редакций документов, связанных с управлением рисками центрального депозитария, или отмененных (признанных утратившими силу) документов, связанных с управлением рисками центрального депозитария, не менее пяти лет с даты внесения изменений или отмены (признания утратившими силу) указанных документов.

2.1. Центральный депозитарий в рамках управления кастодиальным риском центрального депозитария должен организовать проведение следующих мероприятий.

2.1.1. Выявление событий кастодиального риска центрального депозитария, в том числе событий кастодиального риска центрального депозитария, приведших (способных привести) к возникновению у центрального депозитария, его клиентов и (или) контрагентов расходов (убытков), признанных центральным депозитарием существенными (далее - существенное событие кастодиального риска центрального депозитария).

2.1.2. Информирование членов совета директоров (наблюдательного совета) и исполнительных органов центрального депозитария о наступлении существенного события кастодиального риска центрального депозитария в течение одного рабочего дня с даты выявления указанного события.

2.2. Центральный депозитарий в рамках управления кастодиальным риском центрального депозитария должен организовать проведение иных мероприятий, направленных на управление кастодиальным риском центрального депозитария, предусмотренных правилами управления рисками, включая анализ деятельности юридических лиц, осуществляющих учет и хранение активов, принадлежащих центральному депозитарию и (или) переданных центральному депозитарию его клиентами, а также оценку надежности и финансовой устойчивости таких юридических лиц.

3.1. Центральный депозитарий в рамках управления операционным риском центрального депозитария должен организовать проведение следующих мероприятий.

3.1.1. Принятие мер, направленных на предотвращение случаев дублирования (частичного дублирования) полномочий структурных подразделений центрального депозитария.

3.1.2. Регулярная идентификация угроз, которые по оценке центрального депозитария влекут неработоспособность (включая временную неработоспособность) программно-технических средств центрального депозитария, а также постоянный мониторинг текущего состояния программно-технических средств центрального депозитария на предмет необходимости их обновления.

3.1.3. Применение организационных и технических мер по защите информации центральным депозитарием от противоправных действий.

3.1.4. Выявление и контроль потенциальных источников операционного риска центрального депозитария, возникающего вследствие взаимодействия с клиентами и (или) контрагентами посредством телекоммуникационных каналов связи, в том числе с использованием программно-технических средств центрального депозитария.

3.1.5. Нагрузочное тестирование программно-технических средств центрального депозитария.

3.1.6. Регулярный контроль прав доступа работников центрального депозитария к программно-техническим средствам центрального депозитария.

3.1.7. Выявление программно-технических средств центрального депозитария, подверженных противоправному внешнему воздействию.

3.1.8. Устранение недостатков в работе программно-технических средств центрального депозитария.

3.1.9. Информирование исполнительных органов центрального депозитария о результатах проведения нагрузочного тестирования и о выявленных программно-технических средствах центрального депозитария, подверженных противоправному внешнему воздействию.

3.1.10. Информирование определенных правилами управления рисками работников центрального депозитария о возможных событиях операционного риска центрального депозитария, а также обучение работников центрального депозитария по вопросам выявления, оценки и снижения операционного риска центрального депозитария.

3.1.11. Анкетирование структурных подразделений центрального депозитария в целях выявления операционных рисков центрального депозитария, пересмотра размера операционных рисков центрального депозитария (далее - самооценка) и оформление отчета по итогам проведения самооценки, содержащего информацию о выявленных рисках, в порядке и сроки, которые установлены правилами управления рисками.

3.1.12. Выявление несоответствия программно-технических средств центрального депозитария характеру и масштабам осуществляемой им деятельности, а также замена или улучшение (обновление) программно-технических средств центрального депозитария в случае выявления их несоответствия характеру и масштабам осуществляемой центральным депозитарием деятельности.

3.1.13. Разработка, модификация и тестирование программно-технических средств центрального депозитария.

3.2. Центральный депозитарий в рамках управления операционным риском центрального депозитария должен разработать меры, направленные на обеспечение условий для бесперебойного функционирования программно-технических средств центрального депозитария, а также на восстановление осуществляемой центральным депозитарием деятельности, в случае реализации события операционного риска центрального депозитария в результате возникновения чрезвычайных обстоятельств (далее - непрерывность осуществления деятельности центрального депозитария), включая следующие меры.

3.2.1. Определение перечня критически важных процессов центрального депозитария, в том числе процессов, осуществляемых в рамках функций, переданных в соответствии с пунктом 1.11 настоящего Указания третьим лицам, приостановление или прекращение которых влечет нарушение осуществления деятельности центрального депозитария (далее - критически важные процессы).

3.2.2. Выявление чрезвычайных обстоятельств и анализ факторов возникновения чрезвычайных обстоятельств, которые по оценке центрального депозитария способны привести к приостановлению критически важных процессов.

3.2.3. Определение перечня потенциальных чрезвычайных обстоятельств исходя из оценки центральным депозитарием возможных расходов (убытков) центрального депозитария, его клиентов и (или) контрагентов вследствие нарушения непрерывности осуществления деятельности центрального депозитария, а также определение вероятности и времени возможного возникновения такого нарушения, характера и объема операций, проводимых центральным депозитарием.

3.2.4. Обеспечение возможности возобновления критически важных процессов в течение двух часов с момента наступления чрезвычайного обстоятельства, повлекшего приостановление таких процессов.

3.2.5. Распределение полномочий и ответственности между структурными подразделениями центрального депозитария и их работниками в случае возникновения чрезвычайных обстоятельств.

3.2.6. Разработка и утверждение мер по обеспечению бесперебойного функционирования программно-технических средств центрального депозитария, мер, направленных на снижение рисков, возникающих при совмещении деятельности центрального депозитария с иными видами деятельности, мер, принимаемых центральным депозитарием в случаях возникновения чрезвычайных обстоятельств, которые могут препятствовать нормальному осуществлению деятельности центрального депозитария, и направленных на обеспечение непрерывности осуществления и восстановления такой деятельности (далее - План ОНиВД).

3.2.7. Проверка (тестирование) и оценка Плана ОНиВД в целях определения достаточности содержащихся в нем мер для обеспечения непрерывности осуществления деятельности центрального депозитария исходя из характера и объема проводимых центральным депозитарием операций и пересмотр Плана ОНиВД в случае выявления недостаточности указанных мер для обеспечения непрерывности осуществления деятельности центрального депозитария.

3.2.8. Организация функционирования основного и резервного комплексов программно-технических средств центрального депозитария, расположенных на территории Российской Федерации, соответствующих характеру и объему проводимых им операций, согласно требованиям частей 1 и 2 статьи 26 Федерального закона "О центральном депозитарии".

3.2.9. Размещение резервного комплекса программно-технических средств центрального депозитария, функционально дублирующего основной комплекс программно-технических средств центрального депозитария, в отдельном здании.

3.2.10. Поддержание постоянного функционирования резервного комплекса программно-технических средств центрального депозитария и переключение управления на него в случае невозможности осуществления критически важных процессов в основном комплексе программно-технических средств центрального депозитария.

3.2.11. Создание резервных копий информации, содержащейся в учетных записях, предусмотренных пунктом 5.1 Положения Банка России от 13 мая 2016 года N 542-П "О требованиях к осуществлению депозитарной деятельности при формировании записей на основании документов, относящихся к ведению депозитарного учета, а также документов, связанных с учетом и переходом прав на ценные бумаги, и при хранении указанных документов", зарегистрированного Министерством юстиции Российской Федерации 29 июня 2016 года N 42678, в порядке, объемах и сроки, которые определены центральным депозитарием (но не реже одного раза в день), и хранение такой информации в течение пяти лет со дня создания указанных копий.

3.2.12. Обеспечение наличия и технического обслуживания независимых генераторов электричества в основном комплексе программно-технических средств центрального депозитария и резервном комплексе программно-технических средств центрального депозитария, обладающих мощностью, обеспечивающей осуществление критически важных процессов в течение всего периода восстановления функционирования основного комплекса программно-технических средств центрального депозитария.

3.2.13. Создание и поддержание технического оснащения резервного комплекса программно-технических средств центрального депозитария на уровне, обеспечивающем восстановление критически важных процессов и возможность начала работы по переносу критически важных процессов, осуществляемых с использованием программно-технических средств центрального депозитария, из основного комплекса программно-технических средств центрального депозитария в резервный комплекс программно-технических средств центрального депозитария в порядке и сроки, которые установлены правилами управления рисками.

3.2.14. Обеспечение поддержания резервного комплекса программно-технических средств центрального депозитария на уровне, обеспечивающем возможность функционирования всех критически важных процессов и поддержания таких процессов в течение не менее одного месяца с момента возникновения чрезвычайного обстоятельства.

3.2.15. Обеспечение возможности обслуживания основного комплекса программно-технических средств центрального депозитария и резервного комплекса программно-технических средств центрального депозитария как минимум двумя независимыми поставщиками телекоммуникационных услуг.

4.1. Правила управления рисками должны включать:

4.1.1. Общие положения, определяющие цели осуществления управления рисками центрального депозитария.

4.1.2. Порядок осуществления процедур, требования к организации которых предусмотрены приложением 1 к Указанию Банка России N 3624-У, в отношении рисков центрального депозитария в части, не противоречащей требованиям настоящего Указания, устанавливающим общие требования к организации управления рисками центрального депозитария и порядок организации центральным депозитарием управления отдельными видами рисков центрального депозитария.

4.1.3. Права и обязанности органов управления центрального депозитария, руководителей и работников структурных подразделений центрального депозитария, в том числе должностного лица (руководителя отдельного структурного подразделения), ответственного за управление рисками центрального депозитария.

4.1.4. Порядок и периодичность обмена информацией о рисках центрального депозитария между структурными подразделениями центрального депозитария и органами управления центрального депозитария.

4.1.5. Порядок принятия центральным депозитарием мер по предотвращению и урегулированию конфликта интересов, возникающего у центрального депозитария в связи с совмещением им своей деятельности с иными видами деятельности, в случае совмещения центральным депозитарием своей деятельности с иными видами деятельности.

4.1.6. Порядок, периодичность (но не реже одного раза в шесть месяцев) представления должностным лицом (отдельным структурным подразделением), ответственным за управление рисками центрального депозитария, на рассмотрение совета директоров (наблюдательного совета) центрального депозитария отчета, содержащего оценку рисков центрального депозитария за отчетный период и оценку эффективности деятельности по управлению такими рисками.

4.1.7. Содержание, форму, порядок и сроки составления и представления на рассмотрение коллегиального исполнительного органа и единоличного исполнительного органа центрального депозитария ежемесячного отчета о событиях, которые привели к реализации определенного риска центрального депозитария, и ежеквартального отчета о рисках центрального депозитария.

4.1.8. Порядок управления рисками центрального депозитария, возникающими при передаче отдельных функций, связанных с осуществлением деятельности центрального депозитария, третьему лицу, в случае такой передачи.

4.1.9. Порядок внесения рисков центрального депозитария и результатов их оценки, включая размер указанных рисков центрального депозитария, в реестр рисков, а также порядок осуществления оценки реестра рисков на предмет его актуальности, а в случае выявления в реестре рисков неактуальных сведений - порядок пересмотра реестра рисков.

4.1.10. Порядок и критерии признания события кастодиального риска центрального депозитария существенным, а также перечень видов существенных событий кастодиального риска центрального депозитария.

4.1.11. Порядок информирования членов совета директоров (наблюдательного совета) и исполнительных органов центрального депозитария о наступлении существенного события кастодиального риска центрального депозитария.

4.1.12. Перечень мероприятий, направленных на управление кастодиальным риском центрального депозитария.

4.1.13. Порядок и периодичность (но не реже одного раза в шесть месяцев) проведения регулярной идентификации угроз, которые по оценке центрального депозитария влекут неработоспособность (включая временную неработоспособность) программно-технических средств центрального депозитария.

4.1.14. Перечень организационных и технических мер по защите информации центральным депозитарием от противоправных действий.

4.1.15. Порядок и периодичность (но не реже одного раза в шесть месяцев) проведения нагрузочного тестирования программно-технических средств центрального депозитария.

4.1.16. Порядок выявления программно-технических средств центрального депозитария, подверженных противоправному внешнему воздействию.

4.1.17. Порядок информирования исполнительных органов центрального депозитария о результатах проведения нагрузочного тестирования и о выявленных программно-технических средствах центрального депозитария, подверженных противоправному внешнему воздействию.

4.1.18. Перечень работников центрального депозитария, которые информируются о возможных событиях операционного риска центрального депозитария, и порядок указанного информирования.

4.1.19. Порядок и периодичность (но не реже одного раза в год) проведения самооценки, порядок и сроки оформления отчета по итогам проведения самооценки, содержащего информацию о выявленных рисках центрального депозитария.

4.1.20. Порядок ведения центральным депозитарием перечня критически важных процессов.

4.1.21. Порядок выявления чрезвычайных обстоятельств и проведения анализа факторов возникновения чрезвычайных обстоятельств, которые по оценке центрального депозитария способны привести к приостановлению критически важных процессов.

4.1.22. Порядок ведения центральным депозитарием перечня потенциальных чрезвычайных обстоятельств.

4.1.23. План ОНиВД, порядок и периодичность (но не реже одного раза в шесть месяцев) его проверки (тестирования) и порядок и периодичность (но не реже одного раза в год) его оценки в целях определения достаточности содержащихся в нем мер для обеспечения непрерывности осуществления деятельности центрального депозитария исходя из характера и объема проводимых центральным депозитарием операций, а также порядок пересмотра Плана ОНиВД в случае выявления недостаточности указанных мер для обеспечения непрерывности осуществления деятельности центрального депозитария.

4.1.24. Порядок разработки, модификации и тестирования программно-технических средств центрального депозитария.

4.2. Правила управления рисками должны оцениваться центральным депозитарием по мере необходимости (но не реже одного раза в год) на предмет их актуальности и эффективности и пересматриваться в случае выявления в них неактуальных сведений и (или) мер, не обеспечивающих по оценке центрального депозитария эффективность функционирования системы управления рисками.

4.3. Правила управления рисками по решению центрального депозитария могут состоять из одного или нескольких документов и содержать положения, не предусмотренные пунктом 4.1 настоящего Указания, но соответствующие требованиям законодательства Российской Федерации.

5.1. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 августа 2018 года N 28) вступает в силу по истечении 180 дней после дня его официального опубликования.

Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА