Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Положение Банка России от 3 октября 2017 г. N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" (с изменениями и дополнениями)
- Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков
Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков
Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков
3.1. Оператор платежной системы в целях управления рисками в платежной системе должен разрабатывать методики анализа рисков в платежной системе, включая риск нарушения БФПС.
3.2. Методики анализа рисков в платежной системе должны обеспечивать:
выявление и анализ рисков в платежной системе, включая выявление событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий величины риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации (далее - уровень риска);
определение для каждого из выявленных рисков в платежной системе уровня риска, имеющегося до применения способов управления рисками в платежной системе (далее - уровень присущего риска), а также максимального уровня риска, при котором восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе (далее - уровень допустимого риска);
определение рисков в платежной системе, для которых уровень присущего риска выше уровня допустимого риска (далее - значимые для платежной системы риски);
определение уровня каждого из значимых для платежной системы рисков после применения способов управления рисками в платежной системе (далее - уровень остаточного риска).
3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:
формирование и поддержание в актуальном состоянии перечней бизнес-процессов;
разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий;
проведение анализа бизнес-процессов в платежной системе, включая анализ и оценку технологического обеспечения операторов УПИ и других факторов, влияющих на БФПС;
формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий;
определение уровня присущего риска для каждого из выявленных рисков в платежной системе и установление уровня допустимого риска;
сопоставление определенного уровня присущего риска и установленного уровня допустимого риска по каждому из выявленных рисков в платежной системе для выделения значимых для платежной системы рисков;
применение способов управления рисками в платежной системе для каждого из значимых для платежной системы рисков и последующее определение уровня остаточного риска для каждого из значимых для платежной системы рисков;
сопоставление уровней остаточного риска и допустимого риска для каждого из значимых для платежной системы рисков и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;
мониторинг рисков в платежной системе, в том числе уровней остаточных рисков в платежной системе, их соответствия уровню допустимого риска;
составление и пересмотр (актуализацию) по результатам оценки рисков в платежной системе и анализа эффективности мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, профиля каждого из выявленных рисков в платежной системе, включая профиль риска нарушения БФПС (далее - профили рисков).
3.4. Оператор платежной системы должен составлять профили рисков в соответствии с требованиями, предусмотренными в приложении 2 к настоящему Положению, и пересматривать (актуализировать) их не реже одного раза в год.
В случае возникновения инцидента, приведшего к приостановлению оказания УПИ, который не отражен в профилях рисков как риск-событие, профили рисков должны пересматриваться (актуализироваться) в срок, не превышающий трех месяцев со дня возникновения данного инцидента.
3.5. Оператор платежной системы должен хранить сведения, содержащиеся в профилях рисков, не менее двух лет со дня составления и пересмотра (актуализации) профилей рисков.