Приложение 2. Требования к профилям рисков. Положение Банка России от 03.10.2017 N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" (с изменениями и дополнениями)

Приложение 2
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку обеспечения
бесперебойности функционирования
платежной системы, показателям
бесперебойности функционирования
платежной системы и методикам анализа
рисков в платежной системе, включая
профили рисков"

Требования
к профилям рисков

1. Профили рисков должны составляться по всем выявленным рискам в платежной системе, в том числе по следующим рискам:

по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие несоблюдения субъектами платежной системы требований законодательства Российской Федерации, правил платежной системы, договоров, заключенных между субъектами платежной системы, документов оператора платежной системы и документов операторов УПИ либо вследствие наличия правовых коллизий и (или) правовой неопределенности в законодательстве Российской Федерации, нормативных актах Банка России, правилах платежной системы и договорах, заключенных между субъектами платежной системы, а также вследствие нахождения операторов УПИ и участников платежной системы под юрисдикцией различных государств (далее - правовой риск платежной системы);

по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие возникновения у субъектов платежной системы сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий персонала субъектов платежной системы либо вследствие воздействия событий, причины возникновения которых не связаны с деятельностью субъектов платежной системы, включая чрезвычайные ситуации, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы);

по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, центральным платежным клиринговым контрагентом или расчетным центром платежной системы вследствие невыполнения участниками платежной системы договорных обязательств перед указанными организациями в установленный срок или в будущем (далее - кредитный риск платежной системы);

по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие отсутствия у центрального платежного клирингового контрагента и (или) у участников платежной системы денежных средств, достаточных для своевременного выполнения их обязательств перед другими субъектами платежной системы (далее - риск ликвидности платежной системы);

по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие ухудшения финансового состояния оператора платежной системы и (или) операторов УПИ, не связанного с реализацией кредитного риска платежной системы и риска ликвидности платежной системы (общий коммерческий риск платежной системы).

Составление профиля правового риска платежной системы в части вопросов несоблюдения законодательства Российской Федерации, нормативных актов Банка России, правил платежной системы осуществляется службой внутреннего контроля (комплаенс-службой) оператора платежной системы в рамках управления регуляторным риском в соответствии с Положением Банка России N 242-П, если в соответствии с подпунктом 2.2.1 пункта 2.2 настоящего Положения система управления рисками в платежной системе интегрирована оператором платежной системы, являющимся кредитной организацией, в его системы управления рисками и капиталом, а также внутреннего контроля, организованные в соответствии с Указанием Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, и Положением Банка России N 242-П.

2. Профиль каждого из выявленных рисков в платежной системе должен содержать:

описание риск-событий, выявленных с применением не менее одного метода из числа предусмотренных национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 31010-2011 "Менеджмент риска. Методы оценки риска", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 года N 680-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартиформ", 2012) (далее - Стандарт). Риск-события отражаются в профиле каждого из выявленных рисков в платежной системе;

описание причины возникновения каждого из риск-событий;

описание бизнес-процессов оператора платежной системы и операторов УПИ, в которых могут произойти риск-события;

вероятность наступления риск-событий. Определение вероятности наступления риск-событий осуществляется с применением не менее одного метода из числа предусмотренных Стандартом;

описание и оценку возможных неблагоприятных последствий каждого риск-события. Если риск-событие имеет несколько возможных неблагоприятных последствий, то указываются все неблагоприятные последствия данного риск-события. Определение неблагоприятных последствий риск-событий осуществляется с применением методов из числа предусмотренных Стандартом с учетом результатов анализа сведений об инцидентах;

описание бизнес-процессов и перечень субъектов платежной системы, на которые влияет риск-событие;

уровень присущего риска;

уровень допустимого риска;

уровень остаточного риска;

перечень способов управления рисками в платежной системе, позволяющих снизить уровень присущего или остаточного риска.

3. Профиль риска нарушения БФПС должен составляться в отношении значимых для платежной системы рисков.