ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 29 мая 2023 г. N 6428-У
О ТРЕБОВАНИЯХ
К ОПЕРАЦИОННОМУ АУДИТУ, ПРОВОДИМОМУ В ЦЕНТРАЛЬНОМ
ДЕПОЗИТАРИИ, А ТАКЖЕ О ТРЕБОВАНИЯХ К ДЕЯТЕЛЬНОСТИ
ЦЕНТРАЛЬНОГО ДЕПОЗИТАРИЯ ПРИ ПРОВЕДЕНИИ
ОПЕРАЦИОННОГО АУДИТА
Настоящее Указание на основании статьи 19, пункта 2 статьи 27.1 и пунктов 1 и 11 статьи 32 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" устанавливает требования к операционному аудиту, проводимому в центральном депозитарии, требования к лицам, которых центральный депозитарий вправе привлекать при проведении операционного аудита, а также требования к деятельности центрального депозитария при проведении операционного аудита.
1. Центральный депозитарий должен проводить операционный аудит следующих процессов, процедур и мер:
1.1. Процессов разработки, обновления и эксплуатации программно-технических средств центрального депозитария, которые обеспечивают осуществление критически важных процессов, порядок ведения перечня которых определяется центральным депозитарием в соответствии с требованиями, установленными Банком России на основании пункта 3 статьи 32 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (далее - Федеральный закон N 414-ФЗ), в правилах управления рисками, утвержденных центральным депозитарием на основании части 1 статьи 8 Федерального закона N 414-ФЗ (далее соответственно - критически важный процесс центрального депозитария, правила управления рисками).
1.2. Процессов разработки, обновления и эксплуатации программно-технических средств центрального депозитария, которые обеспечивают осуществление технологических процессов центрального депозитария, указанных в строках 6.1 - 6.4 таблицы приложения к Положению Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" <1> (далее соответственно - технологический процесс центрального депозитария, Положение Банка России N 779-П).
--------------------------------
<1> Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961.
1.3. Мер (процедур, мероприятий), определенных правилами управления рисками в соответствии с частью 2 статьи 8 Федерального закона N 414-ФЗ и направленных на обеспечение непрерывности осуществления критически важных процессов центрального депозитария.
1.4. Процедур, направленных на выполнение требований к операционной надежности и определенных центральным депозитарием в соответствии с пунктом 1.13 Положения Банка России N 779-П:
обеспечения в соответствии с пунктом 1.4 Положения Банка России N 779-П организации учета и контроля автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, задействованных при выполнении технологических процессов центрального депозитария, странами происхождения (производителями) которых являются иностранные государства (организации), указанные в пункте 6 Указа Президента Российской Федерации от 1 мая 2022 года N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации";
обеспечения в соответствии с пунктом 1.7 Положения Банка России N 779-П управления риском технологической зависимости функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, указанных в абзаце втором настоящего подпункта, от внешних контрагентов, оказывающих услуги в сфере информационных технологий, связанные с выполнением технологических процессов центрального депозитария;
обеспечения предусмотренных пунктом 1.6 Положения Банка России N 779-П выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов центрального депозитария и функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования центрального депозитария, задействованных при выполнении технологических процессов центрального депозитария, после реализации указанных событий.
2. Операционный аудит в центральном депозитарии должен осуществляться в целях оценки указанных в пункте 1 настоящего Указания процессов, процедур и мер на соответствие требованиям федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность центрального депозитария, и (или) базовых (внутренних) стандартов саморегулируемой организации в сфере финансового рынка, членом которой является центральный депозитарий, и (или) внутренних документов центрального депозитария, утвержденных в соответствии со статьей 9 Федерального закона N 414-ФЗ.
По решению центрального депозитария в рамках операционного аудита в центральном депозитарии осуществляется оценка указанных в пункте 1 настоящего Указания процессов, процедур и мер на соответствие требованиям иных документов (в том числе стандартов), перечень которых устанавливается центральным депозитарием в соответствии с подпунктом 4.5 пункта 4 настоящего Указания.
3. Центральный депозитарий должен проводить операционный аудит с привлечением юридического лица (юридических лиц), осуществляющего (осуществляющих) деятельность по оказанию услуг аудита программно-технических средств, обеспечивающих осуществление критически важных процессов и (или) технологических процессов организаций, и (или) мер, осуществляемых организациями в целях обеспечения непрерывности осуществления их критически важных процессов и (или) технологических процессов (далее соответственно - проверяющая организация, деятельность по оказанию услуг аудита), соответствующего (соответствующих) следующим требованиям:
3.1. Проверяющая организация зарегистрирована в соответствии с законодательством Российской Федерации.
3.2. Проверяющая организация осуществляет деятельность по оказанию услуг аудита не менее трех лет.
3.3. Проверяющая организация составила не менее трех заключений (отчетов) по итогам осуществления деятельности по оказанию услуг аудита.
3.4. В проверяющей организации отсутствуют работники (должностные лица), состоящие в трудовых отношениях на основании трудового договора, в гражданско-правовых отношениях на основании гражданско-правового договора с центральным депозитарием.
3.5. В проверяющей организации отсутствуют работники (должностные лица), являющиеся акционерами центрального депозитария, членами органов управления центрального депозитария и (или) аффилированными лицами центрального депозитария в значении, определенном статьей 4 Закона РСФСР от 22 марта 1991 года N 948-I "О конкуренции и ограничении монополистической деятельности на товарных рынках".
3.6. В проверяющей организации отсутствуют работники (должностные лица), имеющие семейные или родственные отношения (супруги, родители, дети, в том числе усыновленные, усыновители, братья, сестры, дедушки, бабушки, внуки, а также родители, дети, в том числе усыновленные, усыновители, братья, сестры, дедушки, бабушки, внуки супругов) с акционерами центрального депозитария, доля которых в совокупности составляет один процент голосов и более, приходящихся на голосующие акции, составляющие уставный капитал центрального депозитария; с членами совета директоров (наблюдательного совета) центрального депозитария; с лицом, осуществляющим функции единоличного исполнительного органа центрального депозитария, его заместителями; с членами коллегиального исполнительного органа центрального депозитария; с главным бухгалтером или заместителями главного бухгалтера центрального депозитария; с руководителями подразделений центрального депозитария.
3.7. В отношении проверяющей организации отсутствует решение о ее ликвидации, принятое ее учредителями (участниками) или органом проверяющей организации, уполномоченным на то учредительным документом, или судом, предусмотренное пунктами 2 и 3 статьи 61 Гражданского кодекса Российской Федерации.
3.8. В отношении проверяющей организации отсутствует решение арбитражного суда о введении одной из процедур банкротства в соответствии с Федеральным законом от 26 октября 2002 года N 127-ФЗ "О несостоятельности (банкротстве)".
4. Центральный депозитарий должен проводить операционный аудит в соответствии с документом, утвержденным центральным депозитарием и предусматривающим:
4.1. Порядок привлечения проверяющей организации, в том числе требования к проверяющей организации в части квалификации работников, материально-технического обеспечения проверяющей организации.
4.2. Порядок подготовки и утверждения плана проведения операционного аудита.
4.3. Порядок ознакомления работников (должностных лиц) проверяющей организации с критически важными процессами центрального депозитария и технологическими процессами центрального депозитария и их доступа к программно-техническим средствам центрального депозитария, обеспечивающим осуществление критически важных процессов центрального депозитария и технологических процессов центрального депозитария, к автоматизированным системам, программному обеспечению, средствам вычислительной техники, телекоммуникационному оборудованию центрального депозитария, задействованным при выполнении технологических процессов центрального депозитария, а также к документам, регулирующим их функционирование (при наличии).
4.4. Порядок принятия центральным депозитарием отчета об операционном аудите, подготовленного проверяющей организацией (далее - отчет об операционном аудите).
4.5. Перечень документов (в том числе стандартов), помимо указанных в абзаце первом пункта 2 настоящего Указания, на соответствие требованиям которых осуществляется оценка процессов, процедур и мер, указанных в пункте 1 настоящего Указания, - в случае принятия центральным депозитарием решения об оценке указанных процессов, процедур и мер на соответствие документам (в том числе стандартам), помимо указанных в абзаце первом пункта 2 настоящего Указания.
4.6. Требования к содержанию отчета об операционном аудите, предусматривающие включение в него следующей информации:
информации о проверяющей организации (полное фирменное и сокращенное фирменное (при наличии) наименования на русском языке; идентификационный номер налогоплательщика; основной государственный регистрационный номер; адрес в пределах места нахождения, указанный в едином государственном реестре юридических лиц, номер телефона (при наличии);
перечня критически важных процессов центрального депозитария, указанных в подпунктах 1.1 и 1.3 пункта 1 настоящего Указания, и (или) технологических процессов центрального депозитария, указанных в подпунктах 1.2 и 1.4 пункта 1 настоящего Указания, и (или) программно-технических средств, обеспечивающих осуществление указанных критически важных процессов центрального депозитария и (или) технологических процессов центрального депозитария, в отношении которых осуществлялся операционный аудит в соответствии с планом проведения операционного аудита;
перечня федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность центрального депозитария, и (или) базовых (внутренних) стандартов саморегулируемой организации в сфере финансового рынка, членом которой является центральный депозитарий, и (или) внутренних документов центрального депозитария, утвержденных в соответствии со статьей 9 Федерального закона N 414-ФЗ, и (или) документов (в том числе стандартов), указанных в подпункте 4.5 настоящего пункта, оценка соответствия которым осуществлена при проведении проверяющей организацией операционного аудита в центральном депозитарии;
перечня федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, и (или) стандартов, определяющих порядок проведения аудита финансовых организаций, в соответствии с которыми проверяющая организация провела операционный аудит;
итогов (результатов) операционного аудита, выявленных несоответствий процессов, процедур и мер, которые указаны в пункте 1 настоящего Указания и в отношении которых проведен операционный аудит, требованиям федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность центрального депозитария, и (или) базовых (внутренних) стандартов саморегулируемой организации в сфере финансового рынка, членом которой является центральный депозитарий, и (или) внутренних документов центрального депозитария, утвержденных в соответствии со статьей 9 Федерального закона N 414-ФЗ, и (или) документов (в том числе стандартов), указанных в подпункте 4.5 настоящего пункта (далее - несоответствия) (при наличии), рекомендаций по устранению несоответствий (при наличии);
оценки выполнения центральным депозитарием рекомендаций проверяющей организации по устранению несоответствий, выявленных проверяющей организацией по итогам ранее проведенного операционного аудита, в том числе операционного аудита, ранее проведенного иной проверяющей организацией (при их наличии).
4.7. Порядок проведения центральным депозитарием пересмотра документа, предусмотренного абзацем первым настоящего пункта, на основании регулярного (не реже одного раза в год) анализа необходимости его пересмотра, и порядок указанного пересмотра.
5. До проведения операционного аудита центральный депозитарий разрабатывает план проведения операционного аудита, представляемый им не реже одного раза в два года и не позднее двадцати рабочих дней до дня его утверждения в Банк России в форме электронного документа в соответствии с порядком взаимодействия Банка России с некредитными финансовыми организациями, определенным на основании частей первой и восьмой статьи 76.9 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - порядок взаимодействия), и предусматривающий:
5.1. Перечень критически важных процессов центрального депозитария, указанных в подпунктах 1.1 и 1.3 пункта 1 настоящего Указания, и (или) технологических процессов центрального депозитария, указанных в подпунктах 1.2 и 1.4 пункта 1 настоящего Указания, и (или) программно-технических средств центрального депозитария, обеспечивающих осуществление указанных критически важных процессов центрального депозитария и (или) технологических процессов центрального депозитария, в отношении которых будет осуществляться операционный аудит.
5.2. Перечень федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность центрального депозитария, и (или) базовых (внутренних) стандартов саморегулируемой организации в сфере финансового рынка, членом которой является центральный депозитарий, и (или) внутренних документов центрального депозитария, утвержденных в соответствии со статьей 9 Федерального закона N 414-ФЗ, и (или) документов (в том числе стандартов), указанных в подпункте 4.5 пункта 4 настоящего Указания, оценка соответствия которым осуществляется при проведении проверяющей организацией операционного аудита в центральном депозитарии.
5.3. Перечень федеральных законов и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, и (или) стандартов, определяющих порядок проведения аудита финансовых организаций, в соответствии с которыми должен быть проведен операционный аудит центрального депозитария.
5.4. Срок проведения операционного аудита.
6. В случае получения в соответствии с порядком взаимодействия центральным депозитарием не позднее десяти рабочих дней со дня представления в Банк России в соответствии с абзацем первым пункта 5 настоящего Указания плана проведения операционного аудита рекомендаций Банка России центральный депозитарий должен доработать план проведения операционного аудита с учетом указанных рекомендаций и утвердить его в порядке, установленном в соответствии с подпунктом 4.2 пункта 4 настоящего Указания.
7. По результатам операционного аудита центральный депозитарий в течение пяти рабочих дней с даты принятия отчета об операционном аудите направляет его в Банк России в соответствии с порядком взаимодействия.
8. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от "22" мая 2023 года N ПСД-18) вступает в силу с 15 июля 2023 года.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
