ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ
от 2 октября 2023 г. N 6557-У

О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В УКАЗАНИЕ БАНКА РОССИИ ОТ 7 МАЯ 2018 ГОДА N 4791-У

На основании частей 1 и 4 статьи 15, пункта 12 части 1 статьи 25 Федерального закона от 21 ноября 2011 года N 325-ФЗ "Об организованных торгах":

1. Внести в Указание Банка России от 7 мая 2018 года N 4791-У "О требованиях к организации организатором торговли системы управления рисками, связанными с организацией торгов, а также с осуществлением операций с собственным имуществом, и к документам организатора торговли, определяющим меры, направленные на снижение указанных рисков и предотвращение конфликта интересов" <1> следующие изменения:

--------------------------------

<1> Зарегистрировано Минюстом России 17 сентября 2018 года, регистрационный N 52176.

1.1. Абзац второй пункта 1.4 изложить в следующей редакции:

"В рамках управления риском нарушения деятельности организатора торговли в результате несовершенства внутренних бизнес-процессов организатора торговли и (или) действий или бездействия работников организатора торговли, ошибок в функционировании программно-технических средств организатора торговли, а также в результате внешних событий и (или) действий или бездействия третьих лиц (далее - операционный риск) по решению организатора торговли может быть назначено отдельное должностное лицо, ответственное за реализацию мероприятий, предусмотренных пунктами 3.1 и 3.2 настоящего Указания.".

1.2. Главу 1 дополнить пунктом 1.10 следующего содержания:

"1.10. Организатор торговли должен определить перечень процессов, нарушение которых вследствие воздействия событий операционного риска влечет нарушение деятельности организатора торговли, в том числе технологических процессов, требующих обеспечения информационного взаимодействия, обработки и хранения информации с помощью программно-технических средств организатора торговли (далее - критически важные процессы), а также не реже одного раза в год проводить анализ необходимости пересмотра перечня критически важных процессов.".

1.3. В пункте 3.1:

подпункты 3.1.1 и 3.1.2 изложить в следующей редакции:

"3.1.1. Распределение ответственности и полномочий между советом директоров (наблюдательным советом), коллегиальным исполнительным органом и структурными подразделениями организатора торговли, а также принятие мер, направленных на предотвращение случаев дублирования (частичного дублирования) их полномочий.

3.1.2. Определение перечня программно-технических средств, ошибки в функционировании которых влекут за собой нарушение критически важных процессов (далее - критически важные программно-технические средства), включая программно-технические средства, с помощью которых обеспечивается проведение организованных торгов (далее - средства проведения торгов), и не реже одного раза в год проведение анализа необходимости пересмотра перечня критически важных программно-технических средств.";

в подпункте 3.1.4 слова "средств проведения торгов" заменить словами "критически важных программно-технических средств";

подпункты 3.1.9 - 3.1.12 изложить в следующей редакции:

"3.1.9. Проведение испытательных работ в отношении критически важных программно-технических средств при их введении в эксплуатацию, в том числе при их обновлении, с учетом возможного изменения объемов проводимых операций, а также подготовка отчета по итогам проведенных испытательных работ и устранение недостатков, выявленных в работе критически важных программно-технических средств, по итогам проведенных испытательных работ.

3.1.10. Ведение базы данных о событиях операционного риска организатора торговли (далее - база событий) по следующим видам событий операционного риска организатора торговли:

событие, влекущее за собой приостановление осуществления критически важных процессов, а также иные события операционного риска, соответствующие критериям существенности события операционного риска, установленным решением организатора торговли (далее - существенные события операционного риска);

событие, не относящееся к существенным событиям операционного риска, но оказывающее негативное влияние на осуществление критически важных процессов, а также иные события операционного риска, соответствующие критериям значимости события операционного риска, установленным решением организатора торговли (далее - значимые события операционного риска);

событие, не являющееся существенным событием операционного риска или значимым событием операционного риска.

3.1.11. Ведение базы событий по следующим источникам возникновения события операционного риска:

несовершенство внутренних бизнес-процессов организатора торговли;

действия (бездействие) работников организатора торговли;

ошибки в функционировании программно-технических средств организатора торговли;

внешние события и (или) действия или бездействие третьих лиц.

3.1.12. Ведение базы событий, содержащей следующую информацию:

фамилия, имя, отчество (при наличии), должность работника организатора торговли, внесшего запись о событии операционного риска в базу событий;

уникальный идентификационный номер события операционного риска, а также события операционного риска, связанного с выявленным событием операционного риска (в случае если данная связь установлена);

дата и время регистрации события операционного риска в базе событий (дата и время регистрации);

дата, когда произошло (началось) событие операционного риска (дата реализации);

дата (и время в случае, если характер события операционного риска это предусматривает), когда организатору торговли стало известно о событии операционного риска (дата выявления);

структурное подразделение организатора торговли, в котором произошло событие операционного риска (при наличии), а также структурное подразделение организатора торговли, выявившее событие операционного риска (при наличии);

описание события операционного риска, а также его связи с другими видами рисков организатора торговли (при наличии);

указание на то, что событие операционного риска является событием операционного риска, связанным с нарушением операционной надежности, регистрируемым в соответствии с пунктом 1.14 Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" (зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961) (при наличии);

указание на то, что событие операционного риска является инцидентом защиты информации, регистрируемым в соответствии с пунктом 1.14 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880) (при наличии);

влияние события операционного риска на критически важные процессы (в случае если выявленное событие операционного риска влияет на критически важные процессы);

указание на критически важные программно-технические средства, которые подверглись негативному воздействию события операционного риска или послужили причиной возникновения события операционного риска (в случае если критически важные программно-технические средства подверглись указанному негативному воздействию события операционного риска или послужили причиной возникновения события операционного риска);

меры, направленные на устранение последствий реализации события операционного риска, а также на недопущение повторной реализации события операционного риска, которые были приняты в связи с выявлением события операционного риска;

убытки вследствие реализации события операционного риска (при наличии).";

дополнить подпунктами 3.1.14 - 3.1.17 следующего содержания:

"3.1.14. Обучение работников организатора торговли по вопросам управления операционным риском организатора торговли.

3.1.15. Проведение оценки осуществляемой деятельности в целях выявления операционного риска, при которой должны осуществляться:

выявление и оценка структурными подразделениями организатора торговли операционного риска, возникающего в деятельности структурного подразделения и (или) в деятельности организатора торговли, путем определения вероятности реализации и негативного влияния от реализации операционного риска, а также подготовка отчета по итогам проведенной оценки;

моделирование сценариев реализации операционного риска, включающее в себя оценку источников возникновения событий операционного риска и их негативного влияния на деятельность организатора торговли вследствие реализации указанных сценариев, а также подготовка отчета по итогам проведенного моделирования.

3.1.16. Определение и ежеквартальный анализ в целях определения необходимости актуализации контрольных показателей операционного риска, позволяющих отслеживать их изменения (далее - контрольные показатели операционного риска), а также количественных показателей, направленных на измерение и контроль операционного риска в определенный момент времени (далее - ключевые индикаторы операционного риска).

3.1.17. Утверждение определенным организатором торговли органом управления значений контрольных показателей операционного риска и ключевых индикаторов операционного риска на плановый годовой период в разрезе процессов организатора торговли, при достижении которых:

проводится реализация мер, направленных на устранение превышения фактического значения показателя над данным значением;

информация доводится до совета директоров (наблюдательного совета) организатора торговли и коллегиального исполнительного органа организатора торговли.".

1.4. В подпунктах 3.2.8, 3.2.10 - 3.2.12 пункта 3.2 слова "средств проведения торгов" заменить словами "критически важных программно-технических средств".

1.5. В пункте 4.1:

подпункт 4.1.9 изложить в следующей редакции:

"4.1.9. Порядок ведения базы событий.";

в подпункте 4.1.10 слова "средств проведения торгов" заменить словами "критически важных программно-технических средств";

подпункт 4.1.11 признать утратившим силу;

подпункты 4.1.18 и 4.1.19 изложить в следующей редакции:

"4.1.18. Порядок и периодичность (не реже одного раза в год) проведения самооценки и мероприятий, предусмотренных подпунктом 3.1.15 пункта 3.1 настоящего Указания, а также порядок документального оформления их результатов.

4.1.19. Порядок и периодичность (не реже одного раза в шесть месяцев) проведения испытательных работ (тестирования) критически важных программно-технических средств, а также порядок устранения недостатков, выявленных в результате их проведения.";

подпункт 4.1.27 изложить в следующей редакции:

"4.1.27. Порядок распределения ответственности и полномочий в рамках управления операционным риском между советом директоров (наблюдательным советом), коллегиальным исполнительным органом, а также структурными подразделениями организатора торговли.".

1.6. Главу 5 дополнить пунктом 5.2 следующего содержания:

"5.2. Положения подпунктов 3.1.5, 3.1.9 и 3.1.15 пункта 3.1, а также подпунктов 3.2.8, 3.2.11 и 3.2.13 пункта 3.2 настоящего Указания не распространяются на организаторов торговли, осуществляющих деятельность на основании лицензии торговой системы и оказывающих услуги исключительно по проведению организованных торгов на товарном рынке, совокупный годовой объем торгов на которых во всех торговых секциях на последний рабочий день каждого квартала не превышает 50 миллиардов рублей.".

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 27 сентября 2023 года N ПСД-39) вступает в силу с 1 октября 2024 года.

Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА