ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ

5 марта 2024 г. № 77

Об утверждении Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

На основании абзаца семьдесят восьмого статьи 26, части первой статьи 39 Банковского кодекса Республики Беларусь, подпункта 3.13 пункта 3 статьи 4 Закона Республики Беларусь от 19 апреля 2022 г. № 164-З «О платежных системах и платежных услугах» Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:

1. Утвердить Инструкцию об организации системы управления платежными рисками у поставщика платежных услуг (прилагается).

2. Настоящее постановление вступает в силу после его официального опубликования.

 

Председатель Правления

П.В.Каллаур

 

УТВЕРЖДЕНО Постановление Правления Национального банка Республики Беларусь 05.03.2024 № 77

ИНСТРУКЦИЯ
об организации системы управления платежными рисками у поставщика платежных услуг

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая Инструкция:

устанавливает общие требования к организации системы управления платежными рисками у поставщика платежных услуг (далее – ППУ), за исключением банков, небанковских кредитно-финансовых организаций, открытого акционерного общества «Банк развития Республики Беларусь»;

определяет условия возникновения конфликта интересов в деятельности ППУ.

2. Оператор платежной системы учитывает требования настоящей Инструкции при организации системы управления платежными рисками своей платежной системы и обеспечивает их выполнение участниками своей платежной системы.

ППУ учитывает необходимые для выполнения поставщиком технологических услуг требования к управлению платежными рисками в договорах, заключенных с такими поставщиками:

оператор платежной системы и (или) ее участники – при организации обеспечения (обеспечении) функционирования платежной системы;

иные ППУ – при оказании платежных услуг.

3. Для целей настоящей Инструкции:

3.1. применяются следующие термины:

источник платежного риска – материальный и (или) нематериальный факторы, которые самостоятельно или в сочетании с другими факторами обладают способностью вызвать платежный риск;

ИТ-риск – платежный риск, связанный с использованием информационных технологий;

клиринговая система – система клирингового центра, посредством которой обеспечивается клиринг и (или) оказывается услуга клиринга его участникам;

критерий платежного риска – признак, на основании которого производится оценка значимости платежного риска;

критичный актив – материальный или нематериальный актив, разрушение или нарушение функционирования которого вызовет количественные и (или) качественные потери (убытки) и (или) дополнительные затраты и (или) недополучение запланированных доходов;

критичный персонал – персонал, от действий (бездействия) которого зависит эффективность, надежность и безопасность функционирования платежной (клиринговой) системы (осуществления деятельности ППУ);

остаточный платежный риск – платежный риск, оставшийся после осуществления мероприятий по снижению (недопущению) реализации платежного риска либо присутствующий в процессе осуществления указанных мероприятий;

план обеспечения непрерывной работы и восстановления работоспособности – документ или совокупность документов, содержащие комплекс организационных мероприятий и программно-технических решений, которые должны выполняться до, во время и после возникновения кризисной (сбойной) ситуации;

платежный риск – риск в платежной системе и (или) риск участника платежного рынка;

присущий платежный риск – платежный риск, неизменно присутствующий в функционировании платежной системы (осуществлении деятельности ППУ);

профиль платежного риска – совокупность показателей платежного риска и иных сведений, характеризующих подверженность участников платежного рынка Республики Беларусь (далее – платежный рынок) различным видам платежных рисков с учетом стратегии и приоритетов в отношении принимаемых платежных рисков;

риск информационной безопасности – платежный риск, связанный с нарушениями в области информационной безопасности и защиты информации, защиты персональных данных;

тактика управления платежными рисками – совокупность процедур, правил, алгоритмов, принципов управления платежными рисками, основанных на их прогнозировании, и мер реагирования на платежный риск;

толерантность к платежному риску – уровень (величина) платежного риска, который участник платежного рынка определяет для себя как допустимый (безопасный) для обеспечения своей финансовой надежности и долгосрочного функционирования исходя из стратегии, характера, масштаба и сложности видов деятельности, а также финансового положения;

3.2. термины «оверсайт платежных систем», «оператор платежной системы», «платеж», «платежная система», «платежная услуга», «платежный рынок Республики Беларусь», «поставщик платежных услуг», «риск в платежной системе», «риск участника платежного рынка», «технологические услуги», «управление платежными рисками», «услуга, критичная для платежной системы (платежного рынка)», «участник платежной системы», «финансовые организации», «участник платежного рынка» используются в значениях, определенных соответственно в подпунктах 1.13, 1.15, 1.18, 1.20, 1.21, 1.25, 1.30, 1.35, 1.36, 1.38, 1.41, 1.43 пункта 1, подпунктах 2.1, 2.4 пункта 2 статьи 2 Закона Республики Беларусь «О платежных системах и платежных услугах».

Термин «кризисная (сбойная) ситуация» имеет значение, определенное стандартом проведения расчетов СПР 7.01-2020 «Деятельность в области платежных систем и платежных услуг. Информационные технологии. Обеспечение непрерывной работы и восстановления работоспособности участника платежного рынка Республики Беларусь. Общие требования», утвержденным постановлением Правления Национального банка Республики Беларусь от 31 декабря 2019 г. № 552.

4. Платежные риски реализуются на платежном рынке в случае нарушения функционирования отдельного объекта платежного рынка либо нарушения деятельности его участника, представляющего существенную опасность для устойчивости и надежности всего платежного рынка страны, которая заключается в невозможности осуществления платежных операций в течение установленных для них сроков, в том числе гарантированного завершения расчетов по принятым платежам (по результатам клиринга, исполнения своих платежных обязательств по принятым платежам).

ГЛАВА 2
ВИДЫ ПЛАТЕЖНЫХ РИСКОВ И ИХ ОПИСАНИЕ

5. К основным платежным рискам относятся:

системный платежный риск;

юридический платежный риск;

расчетный риск (платежный риск ликвидности и кредитный платежный риск);

операционный платежный риск (в том числе ИТ-риск, риск информационной безопасности, платежный киберриск);

платежный риск потери деловой репутации (репутационный платежный риск);

стратегический платежный риск;

общий коммерческий платежный риск;

депозитарный платежный риск;

инвестиционный платежный риск.

6. Платежные риски, присущие платежному рынку, могут распространяться по платежному рынку и постепенно перерастать в системный платежный риск.

Методы ограничения (снижения) платежных рисков, а также источники платежных рисков, последствия реализации платежных рисков, характерные для ППУ, определяются ППУ самостоятельно исходя из характера, бизнес-процесса и сложности оказываемых им платежных услуг.

ППУ вправе определять платежные риски, присущие его деятельности, с учетом перечня платежных рисков, применимых в отношении различных видов ППУ, согласно приложению 1.

7. Системный платежный риск:

7.1. представляет собой риск возникновения потенциальной возможности (вероятности) потери денежных средств (электронных денег), работоспособности основных программно-технических комплексов участника платежного рынка, доверия к осуществляемым им платежным операциям и (или) оказываемым платежным услугам, иных количественных и (или) качественных потерь (убытков) и дополнительных затрат, недополучения запланированных доходов, при котором неспособность одного участника платежной системы (платежного рынка) обеспечить исполнение предъявленных к нему требований (обязательств) вызовет неспособность других участников платежной системы (платежного рынка) своевременно исполнять свои обязательства (принцип домино);

7.2. имеет следующий источник платежного риска: наступление кризисной (сбойной) ситуации, сопровождающейся значительным снижением способности ППУ оказывать соответствующие платежные услуги в результате нарушения функционирования платежной системы, систем и технологий ППУ;

7.3. вызывает следующие значимые последствия при неспособности платежной системы (ППУ) обеспечить функционирование и (или) завершенность расчетов по платежам:

неблагоприятные последствия для экономики в целом;

потеря юридическими и физическими лицами доверия к платежной системе (платежному рынку) и задействованным в бизнес-процессе участникам платежного рынка.

8. Юридический платежный риск:

8.1. представляет собой риск несоблюдения ППУ законодательства в области платежных систем и платежных услуг;

8.2. имеет следующие источники платежного риска:

несоответствие правил платежной системы, правил оказания платежных услуг ППУ законодательству стран, на территории которых функционирует платежная система (осуществляет деятельность ППУ);

несоответствие локальных правовых актов ППУ установленным правилам и требованиям к нему;

отсутствие в договорах между оператором платежной системы и ее участниками обязательств, направленных на непрерывное и безопасное функционирование платежной системы;

невыполнение правовых процедур, обусловливающих легитимность правил платежной системы, правил оказания платежных услуг ППУ и их реализации, оказывающих негативное воздействие на функционирование платежного рынка;

8.3. вызывает следующие значимые последствия:

запрет на осуществление деятельности в области платежных систем и платежных услуг (далее – платежная деятельность);

реализация расчетного и операционного платежных рисков;

8.4. ограничивается (не допускается, снижается) посредством:

обеспечения соответствия правил платежной системы (правил оказания платежных услуг ППУ) требованиям Закона Республики Беларусь «О платежных системах и платежных услугах» и нормативных правовых актов, принятых (изданных) в его развитие;

совершенствования локальных правовых актов участником платежной системы (ППУ, поставщиком технологических услуг) в целях обеспечения их соответствия законодательству;

обеспечения полной правовой урегулированности отношений между оператором платежной системы и ее участниками, клиринговым центром и пользователями услуг клиринга, ППУ и пользователями его платежных услуг, участниками платежной системы (ППУ) и поставщиками технологических услуг (договоры, соглашения, лицензии).

9. Расчетный риск:

9.1. представляет собой риск возникновения события, при котором все расчетные операции, запланированные в платежной (клиринговой) системе (при оказании платежной услуги эквайринга платежных операций), не будут осуществлены;

9.2. вызывает следующие значимые последствия:

невозможность завершения расчетов участниками платежной (клиринговой) системы в течение одного операционного дня;

невозможность выполнения ППУ платежных обязательств в установленные в платежных соглашениях (договорах на оказание платежной услуги) сроки;

проблемы ликвидности одного участника платежной (клиринговой) системы могут привести к изменению позиций других ее участников и возникновению кризисной (сбойной) ситуации в платежной (клиринговой) системе;

реализация системного платежного риска;

9.3. включает в себя платежный риск ликвидности и кредитный платежный риски;

9.4. ограничивается (не допускается, снижается) путем обеспечения ППУ выполнения требований, установленных подпунктом 10.2 пункта 10 и подпунктом 11.3 пункта 11 настоящей Инструкции.

ППУ использует методы ограничения (снижения) и поддержания на приемлемом уровне расчетного риска согласно приложению 2.

10. Платежный риск ликвидности:

10.1. представляет собой потенциальную возможность невыполнения участником платежной системы (клиринговым центром, платежным агрегатором) требования по осуществлению расчетных операций (передачи наличных денежных средств, платежной инструкции на исполнение в расчетный центр, платежного указания на списание и зачисление электронных денег в электронных кошельках) по платежным обязательствам в полном объеме в срок исполнения платежа, выражающуюся в возможности (вероятности) потери денежных средств (электронных денег).

Платежный риск ликвидности учитывает появление возможности выполнения участником платежной системы (клиринговым центром, платежным агрегатором) платежных обязательств через некоторое время до конца операционного дня платежной (клиринговой) системы, участником которой он является (расчетного центра, клиентом которого он является), и не подразумевает неплатежеспособности участника платежной (клиринговой) системы (платежного агрегатора);

10.2. ограничивается (не допускается, снижается) посредством установления:

оператором платежной системы (клиринговым центром) правил и определения процедур, позволяющих своевременно осуществлять расчетные операции, предотвращать возврат, аннулирование или задержку при осуществлении расчетных операций по обязательствам в тот же операционный день, обеспечивать оказание платежных услуг, а также определять процесс пополнения ресурсов ликвидности, которые могут использоваться при возникновении непредвиденных ситуаций для продолжения безопасного и непрерывного функционирования платежной (клиринговой) системы;

платежным агрегатором правил и определения процедур, позволяющих своевременно передавать наличные денежные средства в расчетный центр, клиентом которого он является (платежные инструкции на исполнение в расчетный центр, платежные указания на списание и зачисление электронных денег в электронных кошельках), обеспечивать оказание платежных услуг, а также определять процесс пополнения ресурсов ликвидности, которые могут использоваться при возникновении непредвиденных ситуаций для продолжения безопасного и непрерывного обеспечения деятельности.

11. Кредитный платежный риск:

11.1. представляет собой потенциальную возможность возникновения события, при котором участник платежной системы (ППУ) не сможет исполнить свои финансовые обязательства по платежу перед клиентами в полном объеме в установленный платежной системой (платежным соглашением) срок или в будущем;

11.2. имеет следующие источники платежного риска:

осуществление участником платежной системы перевода денежных средств по платежу до получения средств покрытия данного платежа;

возникновение кризисной (сбойной) ситуации в платежной системе либо у ее участника в период между приемом платежной системой платежа и окончательным расчетом по нему;

неплатежеспособность участника платежной системы (ППУ);

11.3. ограничивается (не допускается, снижается) посредством установления оператором платежной системы (клиринговым центром) правил платежной (клиринговой) системы и определения процедур, позволяющих обеспечить полное покрытие кредитных потерь, которые могут возникнуть в результате невыполнения обязательств участниками платежной (клиринговой) системы, в том числе использования залогового обеспечения и других финансовых ресурсов для покрытия кредитных платежных рисков.

12. Операционный платежный риск:

12.1. представляет собой потенциальную возможность (вероятность) потери работоспособности программно-технических комплексов участника платежной системы (ППУ), доверия к осуществляемым им платежным операциям и (или) оказываемым платежным услугам, выраженную в возникновении кризисных (сбойных) ситуаций, связанных с нарушением работоспособности программно-технической инфраструктуры участника платежной системы (ППУ), действиями персонала или злоумышленников, недостатками внутренних процессов и нарушениями в управлении участником платежной системы (ППУ) своими системами и технологиями, а также в результате действия внешних событий.

Нарушения работоспособности программно-технической инфраструктуры включают нарушения функционирования программно-технических комплексов, информационных систем, программно-технических средств, средств телекоммуникаций, иных объектов, используемых для осуществления деятельности участника платежной системы (ППУ).

К действиям персонала, приводящим к возникновению операционного платежного риска, относятся:

ошибки персонала, входящего в организационную структуру участника платежной системы (ППУ);

нарушение персоналом порядков и процедур оказания платежных услуг, в том числе вследствие некомпетентности;

ошибки в управлении участником платежной системы (ППУ) как организацией;

недостаточность внутреннего контроля;

участие персонала в мошенничестве;

неправомерные действия персонала в отношении участника платежной системы (ППУ) в киберпространстве;

иные действия, определяемые участником платежной системы (ППУ) самостоятельно.

К действиям злоумышленников, приводящим к возникновению операционного платежного риска, относятся:

мошенничество со стороны третьих лиц, в том числе с участием персонала;

неправомерные действия третьих лиц в отношении ППУ в киберпространстве;

использование методов психологического давления на пользователя (клиента);

иные действия, определяемые участником платежной системы (ППУ) самостоятельно;

12.2. имеет следующие источники платежного риска:

внутренние факторы (недостаточные средства контроля за бизнес-процессами в своих системах и процедуры реагирования на платежные риски, недостаточно тщательный подбор персонала);

внешние факторы (кризисные (сбойные) ситуации в работе поставщиков услуг, критичных для платежной системы (платежного рынка);

форс-мажорные обстоятельства (чрезвычайные ситуации техногенного характера, чрезвычайные ситуации природного характера, военные действия, акты терроризма, угроза их совершения, иные, определяемые договором);

кибератаки;

иные источники, определяемые участником платежной системы (ППУ) самостоятельно;

12.3. вызывает следующие значимые последствия:

приостановление осуществления платежей и проведения расчетов;

невозможность завершения расчетов участниками платежной (клиринговой) системы в течение одного операционного дня;

убытки или дополнительные затраты;

сокращение, ухудшение или прекращение функционирования платежной (клиринговой) системы (платежной деятельности ППУ);

отсутствие возможности оказания участниками платежной системы услуг своим клиентам;

нарушение требований информационной безопасности в области платежных систем и платежных услуг;

реализация расчетного, платежного риска потери деловой репутации (репутационного платежного риска), в некоторых случаях при реализации в системно значимой платежной системе – реализация системных платежных рисков;

12.4. ограничивается (не допускается, снижается) посредством обеспечения:

информационной безопасности и операционной надежности;

непрерывности бизнес-процессов;

документирования и регулярного тестирования процедур обеспечения непрерывной работы и восстановления работоспособности;

подготовки высококвалифицированного персонала;

стандартизации и сертификации.

ППУ использует методы ограничения (снижения) и поддержания на приемлемом уровне операционного платежного риска согласно приложению 3.

13. Платежный киберриск:

13.1. представляет собой операционный платежный риск, возникший вследствие реализации злоумышленных действий одного лица или группы лиц посредством использования информационных технологий и направленный на неавторизованное раскрытие, изменение или разрушение информационных активов и (или) технической инфраструктуры, а также на противоправное использование полученных данных;

13.2. имеет следующие источники платежного риска:

присвоение и использование конфиденциальной информации участника платежного рынка его работниками;

хищение данных о реквизитах банковских платежных карточек или счетов клиентов финансовых организаций, иной информации;

получение информации в результате вымогательства;

несвоевременное обновление антивирусных программ на персональных компьютерах работников участников платежного рынка и серверах автоматизированных систем, используемых при оказании платежных услуг, систем участников платежного рынка;

наличие возможности выхода предназначенных для обработки конфиденциальной информации рабочих станций работников участников платежного рынка в глобальную компьютерную сеть Интернет;

совмещение обязанностей администратора информационной безопасности и системного администратора участников платежного рынка;

отсутствие в службе безопасности участника платежного рынка подготовленных специалистов в области кибербезопасности;

утрата или разглашение информации, в том числе из-за ошибки работника участника платежного рынка;

нарушение функционирования программно-технической инфраструктуры сети передачи данных участника платежного рынка и (или) его официального сайта в глобальной компьютерной сети Интернет;

утеря материального носителя, содержащего конфиденциальную информацию;

кибератаки, связанные со шпионажем, коммерческим шпионажем, киберпреступностью и иными формами несанкционированного доступа к информационным системам осуществления платежей;

внутренние уязвимости и недостаточный уровень контроля, которые могут исходить от вышестоящей организации (акционера (участника), оператора платежной системы), новейших технологий, участников платежных систем, поставщиков услуг, критичных для платежной системы (платежного рынка), и внешних источников (атаки хактивистов, геополитические факторы, террористическая угроза);

недостаточность мер по обеспечению безопасности данных;

невыполнение клиентами участников платежных систем (ППУ) условий платежных соглашений (договоров на оказание платежных услуг), в том числе передача клиентами персональных данных, аутентификационных данных или иной информации ограниченного распространения третьим лицам;

иные источники, установленные ППУ самостоятельно;

13.3. вызывает следующие значимые последствия:

возникновение расходов, связанных с реагированием на инциденты информационной безопасности, ликвидацией последствий, расследованием и аудитом безопасности, а также убытков, понесенных пользователями;

хищение денежных средств с использованием банковских платежных карточек, со счетов клиентов финансовых организаций, с электронных кошельков, ценных бумаг со счета в депозитарии;

нарушение, искажение или раскрытие определенных информационных активов или сбой технической инфраструктуры;

уничтожение данных;

отказ в обслуживании программно-технической инфраструктуры и деятельности ППУ в целом;

нарушение организации бизнес-процессов участника платежной системы (платежного рынка);

утрата информации;

снижение рейтинга участника платежного рынка;

потеря деловой репутации участника платежного рынка;

запрет для пользователя либо ППУ со стороны расчетного центра, клиентами которого они являются, на осуществление операций посредством систем дистанционного банковского обслуживания;

потеря клиентов участника платежной системы (платежного рынка);

исключение ППУ из реестра ППУ и видов оказываемых ими платежных услуг;

13.4. ограничивается (не допускается, снижается) посредством обеспечения:

применения стандартов, регулирующих технические вопросы обеспечения информационной безопасности;

передачи и (или) получения, анализа и использования информации об инцидентах физической и информационной безопасности в (из) Центр мониторинга и реагирования на компьютерные угрозы в кредитно-финансовой сфере, созданный в Национальном банке (FinCERTby), в целях снижения платежного киберриска, предупреждения и предотвращения инцидентов, противодействия атакам и мошенническим действиям персонала ППУ и третьих лиц;

внедрения международных стандартов финансовых сообщений;

проведения оценки платежных киберрисков (в рамках оценки операционного платежного риска), связанных с развитием цифровых технологий;

организации необходимой ресурсной базы, обучения и корпоративной культуры, подразумевающих укрепление платформы для управления рисками в области защиты информации и интеграцию этого процесса в систему управления платежными рисками (процедуры, инструкции, обучение, осведомленность и корпоративная культура);

идентификации угроз и сотрудничества в области безопасности и защиты информации (идентификация угроз, мониторинг и анализ, совместное использование информации);

контроля кибербезопасности (превентивный, выявляющий, корректирующий контроль), включающего шифрование мобильных платформ (ноутбук, мобильные устройства и иные) в случае наличия на них конфиденциальной информации, периодического анализа средств управления доступом в системах и приложениях, использования безопасных отраслевых методов кодирования для программистов, использования специальных систем для контроля аномального и необычного поведения клиентов и работников участника платежного рынка (контроль за мошенничеством);

управления внешними зависимостями (соединение потоков данных в единую базу, управление отношениями), предусматривающими построение диаграмм для получения информации обо всех видах входящих и исходящих потоков данных;

управления киберинцидентами и обеспечения устойчивости к ним (планирование и стратегия устойчивости к инцидентам, обнаружение, реагирование и смягчение, эскалация и отчетность), включающих мероприятия по усилению существующей практики управления безопасностью (точное определение обязанностей персонала, получение новых необходимых экспертных знаний), анализ и определение сценариев развития и планов реагирования на различные киберугрозы;

исключение возможности выхода предназначенных для обработки конфиденциальной информации рабочих станций работников участников платежного рынка в глобальную компьютерную сеть Интернет.

ППУ использует методы ограничения (снижения) и поддержания на приемлемом уровне платежного киберриска согласно приложению 4.

14. Платежный риск потери деловой репутации (репутационный платежный риск):

14.1. представляет собой риск возникновения события, направленного на распространение негативной информации (обоснованной и необоснованной) и формирование негативного общественного мнения:

о финансовой надежности участника платежной системы (ППУ);

о качестве услуг, оказываемых участником платежной системы (ППУ);

о характере деятельности участника платежной системы (ППУ);

о функционировании платежной системы (деятельности ее участника, ППУ);

об оказании платежных услуг;

о практике деловых отношений участника платежной системы (ППУ);

14.2. имеет следующие источники платежного риска:

неспособность участника платежной системы (ППУ) своевременно и в полном объеме выполнить свои платежные обязательства перед клиентами (пользователями);

изменение характеристик управления ликвидностью в условиях открытого сетевого взаимодействия;

формирование негативного общественного мнения относительно участника платежной системы (ППУ) третьими лицами (контрагентами);

предоставление ошибочной или неполной информации конечным пользователям;

недоступность, неработоспособность, неполная функциональность, ненадежность, небезопасность автоматизированных систем участника платежной (клиринговой) системы (ППУ), включая хакерские воздействия на используемые им веб-сайты;

отказ аппаратно-программного обеспечения участника платежной (клиринговой) системы (ППУ) и (или) ППУ, поставщиков технологических услуг, оказывающих ему услуги;

преступления против компьютерной безопасности, сетевые атаки;

реализация операционного и (или) юридического платежных рисков;

подозрение в участии ППУ в незаконных финансовых операциях, легализации доходов, полученных преступным путем, финансировании террористической деятельности и финансировании распространения оружия массового поражения, а также иной противоправной деятельности;

14.3. вызывает следующие значимые последствия:

убытки, дополнительные затраты, сокращение доходов, ограничение ликвидности;

приостановление платежной деятельности;

сокращение клиентской базы (базы контрагентов) участника платежной системы (ППУ);

привлечение участника платежной (клиринговой) системы (ППУ) в качестве ответчика в судебных спорах;

потеря (искажение) данных, в том числе персональных данных и иных сведений, составляющих банковскую и иную охраняемую законом тайну;

14.4. ограничивается (не допускается, снижается) посредством обеспечения:

уменьшения потери доверия к участнику платежной системы (ППУ);

сохранения и поддержания деловой репутации участника платежной системы (ППУ) перед клиентами и контрагентами, учредителями (акционерами), участниками финансового рынка, органами государственной власти и управления, иными организациями.

ППУ использует методы ограничения (снижения) и поддержания на приемлемом уровне платежного риска потери деловой репутации (репутационного платежного риска) согласно приложению 5.

15. Стратегический платежный риск:

15.1. представляет собой потенциальную возможность (вероятность) возникновения события как результата ошибок (недостатков), допущенных при принятии управленческих решений, определяющих стратегию деятельности и развития участника платежной системы (ППУ) и выражающихся в:

неучете угроз или недостаточности принимаемых мер по ограничению (снижению) угроз функционированию (деятельности) участника платежной системы (ППУ);

неправильном или необоснованном определении перспективных направлений развития деятельности участника платежной системы (ППУ), в которых он может достичь преимущества перед конкурентами;

отсутствии или обеспечении в неполном объеме необходимых ресурсов (финансовых, материально-технических, человеческих) и организационных мер (управленческих решений), призванных обеспечить надежное, безопасное и эффективное функционирование платежного рынка страны либо достижение целей деятельности участника платежной системы (ППУ);

15.2. имеет следующие источники платежного риска:

недостаточная проработка в системе управления платежными рисками вопросов, связанных с применением новых технологий или подходов на платежном рынке, а также подходов к виду деятельности, в том числе ее планированию, до принятия решения о внедрении этого вида деятельности;

несоответствие планов внедрения новых технологий или подходов на платежном рынке деловым целям в стратегическом плане и установленным для платежных рисков границам;

недостатки в уровне развития технологий и информационных систем управления, препятствующие внедрению новых технологий или подходов;

недостаточность ресурсов участника платежной системы (ППУ), необходимых для идентификации, мониторинга и контроля платежных рисков операций, осуществляемых посредством платежной системы (систем и технологий ППУ), иных систем, предоставляемых платежных услуг, недостаточный уровень квалификации персонала и иные;

принятие неэффективных бизнес-решений и (или) несоответствующая реализация ключевых решений участника платежного рынка (ППУ);

неэффективное распределение ресурсов;

ошибки в выборе (комбинировании) видов оказываемых услуг, способов их оказания;

не соответствующие принятым или планируемым бизнес-моделям технологические и организационно-технические решения;

необоснованные инвестиции в недостаточно проработанные, неэффективные проекты или автоматизированные системы;

ошибки, допущенные в маркетинговой, рыночной, конкурентной, технической политике;

принятие недостаточно обоснованных руководящих решений по переходу к новым технологиям или внедрению новых подходов к ведению бизнеса;

реализация операционного, юридического и платежного риска потери деловой репутации (репутационного платежного риска);

15.3. вызывает следующие значимые последствия:

невозможность достижения участником платежного рынка (ППУ) своих бизнес-целей;

высокие затраты на внедрение и сопровождение используемых технологий и автоматизированных систем;

15.4. ограничивается (не допускается, снижается) посредством обеспечения:

оценки возможных убытков или дополнительных затрат в текущем и будущих периодах;

контроля содержания планов информатизации (автоматизации) деятельности и достаточности их обоснования, поэтапного выполнения, включая связанные с контролем процедуры;

разработки различных сценариев возникновения угроз надежной деятельности в части компонентов стратегического платежного риска, связанных с применением новых технологий или подходов к платежной системе (при оказании платежных услуг), и рассмотрение таких сценариев, разрабатывая модели потенциальных угроз эффективной реализации ключевых решений, принимаемых руководством участника платежного рынка по направлению внедрения информационных технологий;

разработки подробных технико-экономических обоснований для принятия продуманных руководящих решений в части перехода к новым технологиям или внедрения новых подходов.

ППУ использует методы ограничения (снижения) и поддержания на приемлемом уровне стратегического платежного риска согласно приложению 6.

16. Общему коммерческому, депозитарному и инвестиционному платежным рискам подвержены не все участники платежной системы (ППУ), поэтому они являются специфическими рисками для платежного рынка. Перечень платежных рисков, применимых в отношении различных видов ППУ, приведен в приложении 1.

17. Общий коммерческий платежный риск:

17.1. представляет собой риск, возникающий в результате прекращения функционирования:

платежной системы (прекращения деятельности участника платежной системы (ППУ), не связанного с невыполнением обязательств ее участниками;

ППУ, не связанного с невыполнением им платежных обязательств;

17.2. имеет следующие источники платежного риска:

принятие необоснованных (неэффективных) решений;

дополнительные затраты или операционные расходы, не предусмотренные финансовым планом;

многократное (более двух раз) участие участника платежной (клиринговой) системы (ППУ) в судебных спорах;

мошенничество;

реализация юридического, инвестиционного, влияющего на ресурсы участника платежной системы (ППУ), и операционного платежных рисков;

17.3. вызывает следующие значимые последствия:

ухудшение финансового положения (снижение доходов) участника платежной системы (ППУ);

убыточность платежной деятельности;

17.4. ограничивается (не допускается, снижается) посредством обеспечения ликвидности чистых активов, финансируемых за счет собственных средств и достаточных для покрытия потенциальных общих коммерческих убытков, в целях обеспечения возможности осуществления платежных операций (оказания платежных услуг) в случае, если эти убытки образовались. Величина ликвидных чистых активов должна быть достаточной для обеспечения восстановления или упорядоченного прекращения платежной деятельности.

18. Депозитарный платежный риск:

18.1. представляет собой риск потери активов (денежных средств и ценных бумаг), находящихся на хранении в организации, которую выбрал для этих целей участник платежной системы (ППУ), вследствие низкого уровня финансовой надежности такой организации, недобросовестности выполнения своих обязанностей ее работниками, неудовлетворительного управления данной организацией, мошенничества.

Уровень финансовой надежности оценивается участником платежной системы (ППУ) в том числе по факту наличия достоверной информации о способности организации обеспечить выполнение своих обязательств в долгосрочной перспективе, возврат денежных средств и ценных бумаг, информации об осуществлении организацией деятельности, которая предполагает высокую вероятность получения большой прибыли либо убытков (вплоть до полной потери всех денежных средств (активов), иных значимых для участника платежной системы (ППУ) факторах;

18.2. имеет следующие источники платежного риска:

недостаточное обеспечение в платежной (клиринговой) системе (ППУ) защиты собственных активов и активов своих участников;

не обеспечена возможность своевременного доступа к указанным активам;

18.3. вызывает следующие значимые последствия:

невозможность завершения расчетов участниками платежной (клиринговой) системы в течение одного операционного дня;

убытки или дополнительные затраты;

возникновение кризисных (сбойных) ситуаций в функционировании платежной (клиринговой) системы (осуществлении платежной деятельности ППУ) либо прекращение функционирования платежной (клиринговой) системы (платежной деятельности ППУ) в целом, изменение графика функционирования платежной (клиринговой) системы (осуществления платежной деятельности ППУ) в сторону сокращения времени оказания платежных услуг;

18.4. ограничивается (не допускается, снижается) посредством обеспечения хранения активов, используемых платежной (клиринговой) системой (ППУ) для поддержания собственных оборотных или основных фондов или предоставленных ее участниками в обеспечение своих обязательств перед платежной (клиринговой) системой, в организациях, объекты (деятельность) которых являются объектами оверсайта платежных систем (контроля и (или) регулирования со стороны Национального банка).

19. Инвестиционный платежный риск:

19.1. представляет собой риск, возникающий при инвестировании платежной (клиринговой) системой (ППУ) собственных ресурсов или ресурсов, предоставленных ее участниками;

19.2. имеет следующие источники платежного риска:

недостаточное обеспечение в платежной (клиринговой) системе (ППУ) защиты собственных ресурсов или ресурсов, предоставленных ее участниками;

не обеспечена возможность своевременного доступа к указанным ресурсам;

19.3. вызывает следующие значимые последствия:

невозможность завершения расчетов участниками платежной (клиринговой) системы в течение одного операционного дня;

убытки или дополнительные затраты;

сокращение, ухудшение или прекращение функционирования платежной (клиринговой) системы (платежной деятельности ППУ);

19.4. ограничивается (не допускается, снижается) посредством обеспечения:

разработки политики инвестирования в соответствии с общей стратегией управления платежными рисками платежной (клиринговой) системы (ППУ), в том числе с учетом необходимости осуществления инвестирования в инструменты с минимальными кредитным и рыночным рисками, риском ликвидности;

недопущения снижения уровня финансовой надежности платежной (клиринговой) системы и ухудшения качества управления расчетным риском при принятии инвестиционных решений платежной (клиринговой) системой в стремлении к получению прибыли.

ГЛАВА 3
ОРГАНИЗАЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ ПЛАТЕЖНЫМИ РИСКАМИ

20. ППУ, за исключением ППУ, являющегося индивидуальным предпринимателем, а в случае организации платежной системы – ее оператором и (или) владельцем организуются процессы комплексного управления платежными рисками, разрабатываются и утверждаются локальные правовые акты, определяющие стратегию, политику, методики и процедуры управления платежными рисками.

В случае, если ППУ является индивидуальным предпринимателем, оказывающим платежные услуги агента по распространению, погашению или обмену электронных денег или услуги платежного курьера, требования к процессам комплексного управления платежными рисками, присущими его платежной деятельности, определяются в договорах на оказание платежных услуг.

21. Система управления платежными рисками участника платежной системы (ППУ) представляет собой совокупность организационной структуры платежной системы (ППУ), полномочий и ответственности должностных лиц, локальных правовых актов, определяющих стратегию, политику, методики и процедуры управления платежными рисками, процессы управления платежными рисками, направленную на снижение вероятности возникновения неблагоприятных последствий кризисных (сбойных) ситуаций, инцидентов, обеспечивающую бесперебойность функционирования платежной системы (ППУ) с учетом размера причиняемого ущерба.

22. Стратегия управления платежными рисками отражает:

стратегические цели управления платежными рисками;

основные принципы функционирования системы управления платежными рисками;

перечень платежных рисков, присущих платежной системе (платежной деятельности ППУ), и принципы управления ими.

23. Политика управления платежными рисками:

определяет цели и задачи управления платежными рисками, основные принципы и методы, используемые для достижения этих целей и выполнения задач, содержит перечень присущих платежной системе (платежной деятельности ППУ) платежных рисков;

выделяет наиболее существенные для платежной системы (платежной деятельности ППУ) платежные риски (из числа применимых к ППУ). Политика управления платежными рисками учитывает платежные риски, присущие деятельности ППУ, с учетом перечня платежных рисков, применимых в отношении различных видов ППУ, согласно приложению 1;

устанавливает требования к управлению платежными рисками в целом (тактика управления платежными рисками, организационная структура платежной системы (ППУ), полномочия и функциональные обязанности руководителей и работников участников платежной системы и организаций, которые оказывают услуги, критичные для платежной системы (платежного рынка), организация процесса управления платежными рисками, подходы к оценке эффективности системы управления платежными рисками и ее совершенствованию);

предусматривает подготовку комплекса мероприятий, направленных на прогнозирование платежных рисков, способных оказать негативное влияние на функционирование платежной системы (платежную деятельность ППУ), определение способов управления этими рисками с целью защиты от потерь (убытков), дополнительных затрат, недополучения запланированной прибыли.

24. В целях выполнения политики управления платежными рисками разрабатывается план ее реализации, создается необходимая ресурсная база, осуществляется подготовка (повышение квалификации) персонала.

25. Методики и процедуры управления платежными рисками содержат:

детальное описание процедур по отдельным составляющим процесса управления платежными рисками;

особенности управления отдельными видами платежных рисков и анализ устойчивости платежной системы (платежной деятельности ППУ) к платежным рискам;

порядок использования результатов, полученных в процессе управления платежными рисками, и при необходимости результатов анализа устойчивости оператора платежной системы и иных ее участников (ППУ);

другие необходимые процедуры, порядки и регламенты.

Методика управления платежными рисками определяется согласно приложению 7.

26. Система управления платежными рисками предусматривает реализацию следующих мероприятий:

определение организационной структуры системы управления платежными рисками, обеспечивающей контроль выполнения участниками платежной системы (ППУ) требований к управлению платежными рисками, установленных правилами платежной системы (платежным соглашением ППУ);

определение функциональных обязанностей работников участника платежной системы (ППУ), ответственных за управление платежными рисками, либо соответствующих структурных подразделений;

доведение до органов управления участника платежной системы (ППУ) информации о платежных рисках;

определение показателей бесперебойности функционирования платежной системы (платежной деятельности ППУ) в соответствии с требованиями стандарта проведения расчетов СПР 7.01-2020 «Деятельность в области платежных систем и платежных услуг. Информационные технологии. Обеспечение непрерывной работы и восстановления работоспособности участника платежного рынка Республики Беларусь. Общие требования»;

определение методик анализа платежных рисков в платежной системе (платежной деятельности ППУ), включая профили платежных рисков;

определение порядка обмена информацией, необходимой для управления платежными рисками;

определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;

определение порядка изменения операционных и технологических средств и процедур;

определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией;

определение порядка обеспечения защиты информации в платежной системе (системах и технологиях ППУ, посредством которых обеспечивается его деятельность).

27. ППУ разрабатывает и закрепляет в своих локальных правовых актах порядок внутреннего контроля платежных рисков согласно приложению 8.

28. ППУ на регулярной основе осуществляет мероприятия, направленные на возмещение в соответствии с законодательством в области платежных систем и платежных услуг возможных потерь в случае реализации платежных рисков.

29. ППУ организует пересмотр документов системы управления платежными рисками на регулярной основе и по мере необходимости.

30. Функционирование системы управления платежными рисками в платежной системе (платежной деятельности ППУ) основывается на следующих принципах:

непрерывность использования процедур и механизмов управления платежными рисками;

открытость и понятность системы управления платежными рисками для участников платежной системы (ППУ);

совершенствование процедур и механизмов управления платежными рисками;

осведомленность участника платежной системы (ППУ) о платежных рисках;

единообразие применяемых процедур и методов оценки платежных рисков;

комплексность и системность оценки платежных рисков на основе анализа совокупности факторов риска и всесторонней оценки уровня платежного риска;

использование информационных технологий, позволяющих своевременно идентифицировать, анализировать, оценивать платежные риски, управлять ими и контролировать их.

31. В случае, если ППУ привлекает к своей деятельности иных ППУ, аутсорсеров, в системе управления платежными рисками такого ППУ отражаются механизмы управления платежными рисками привлекаемых организаций (индивидуальных предпринимателей).

32. Условием возникновения конфликта интересов в деятельности ППУ является совмещение его деятельности как ППУ со следующими видами деятельности, бизнес-процессы которых предполагают высокую вероятность получения большой прибыли либо убытков (вплоть до полной потери всех денежных средств (активов):

деятельность в области игорного бизнеса;

деятельность в качестве инвестиционного фонда.

Способом управления платежным риском, который имеет высокий уровень при таком совмещении, является разграничение данных видов деятельности.

33. ППУ обеспечивает совершенствование системы управления платежными рисками.

ГЛАВА 4
ОРГАНИЗАЦИЯ ПРОЦЕССА УПРАВЛЕНИЯ ПЛАТЕЖНЫМИ РИСКАМИ

34. Процесс управления платежными рисками направлен на уменьшение негативного воздействия платежных рисков на деятельность участников платежного рынка.

35. Процесс управления платежными рисками включает следующие этапы:

35.1. идентификация платежного риска.

Идентификация платежного риска представляет собой процесс выявления платежных рисков и их основных источников, обнаружения событий, источников их возникновения и возможных последствий, исследования и описания платежных рисков.

Для идентификации платежного риска могут использоваться данные прошлых лет, теоретический анализ, мотивированные экспертные суждения и осведомленность о факторах, на основании которых отдельные лица, организации или однородные группы лиц относятся к категории заинтересованных сторон.

На данном этапе составляется подробный перечень платежных рисков, основанный на событиях, связанных с отклонением в функционировании платежной системы (систем и технологий участника платежного рынка);

35.2. измерение и оценка платежного риска.

Измерение платежного риска представляет собой процесс исследования сущности платежного риска и определения его уровня, обеспечивающий основу для оценки платежного риска и принятия решения о реагировании на него.

Оценка платежного риска предусматривает сравнение результатов измерения платежного риска с установленными критериями платежного риска для определения приемлемости (допустимости) платежного риска и (или) его величины.

Оценка платежного риска включает сравнение уровня платежного риска, выявленного в процессе измерения, с критериями платежного риска, на основании которого определяется дальнейшее отношение к платежному риску. Платежные риски ранжируются по степени их отрицательного влияния на платежную систему (деятельность ППУ) и с учетом вероятности наступления неблагоприятного события.

Методика оценки платежных рисков определяется согласно приложению 9;

35.3. выбор способов реагирования на платежный риск.

Реагирование на платежный риск предусматривает принятие мер реагирования по результатам выявления (идентификации) и измерения (оценки) платежного риска.

Выбор способов реагирования на платежный риск производится путем сравнения их эффективности с целью минимизации возможного ущерба в будущем.

Способами реагирования на платежный риск являются:

ограничение (снижение) платежного риска (уменьшение вероятности возникновения платежного риска и (или) размеров возможного ущерба при наступлении неблагоприятных событий);

сохранение уровня платежного риска, или принятие платежного риска, или при необходимости его увеличение до величины, не превышающей значения толерантности к платежному риску;

передача платежного риска (разделение платежного риска с другой стороной или его передача другой стороне (аутсорсинг);

уклонение от платежного риска (отказ от начала либо продолжения деятельности, в результате которой возникает платежный риск).

Методы ограничения (снижения) платежных рисков определяются всеми участниками платежной системы (платежного рынка) с учетом особенностей организации платежной системы (деятельности ППУ), иных систем и технологий участника платежного рынка, видов оказываемых платежных услуг, услуг, критичных для платежной системы (платежного рынка), модели управления платежными рисками, процедур расчета, количества переводов денежных средств и их сумм, времени окончательного расчета, иных факторов.

Система управления платежными рисками предусматривает следующие методы ограничения (снижения) платежного риска в платежной системе (деятельности ППУ) и механизмы восстановления функционирования платежной системы при реализации платежного риска в ней:

установление предельных размеров (лимитов) обязательств участников платежной системы, иных систем с учетом уровня платежного риска;

создание гарантийного фонда платежной системы (платежной деятельности ППУ);

управление очередностью исполнения платежных инструкций участников платежной системы;

осуществление расчетных операций по принятым платежам в платежной системе до конца ее операционного дня;

осуществление расчетных операций в пределах предоставленных участниками платежной системы денежных средств;

обеспечение возможности получения денежных средств в форме кредита или займа для гарантированного завершения расчетов по принятым в платежной системе платежам;

использование банковской гарантии;

другие методы и механизмы управления платежными рисками, предусмотренные правилами платежной системы (правилами оказания платежных услуг ППУ).

В случае реализации платежного риска в платежной системе, системах и технологиях участника платежной системы (ППУ), используемых для оказания платежных услуг, применяются механизмы восстановления их функционирования, которые зависят от конкретных систем, сценариев восстановления и участников. Разрабатываются планы обеспечения непрерывной работы и восстановления работоспособности, которые включают сценарии восстановления, учитывающие следующие подходы:

комплексность (описание процессов функционирования платежной системы, иной системы и технологии в кризисной (сбойной) ситуации и принятия соответствующих решений, распределения непокрытых предварительным фондированием или иным способом убытков и покрытия дефицитов ликвидности, включая перечень необходимых для этого инструментов, время применения данных инструментов и перечень действий по их использованию);

эффективность (надежность и своевременность использования механизма восстановления, предусматривающие надежную правовую базу в целях получения возможности использования каждого механизма в любых обстоятельствах, включая кризисные (сбойные) ситуации);

транспарентность, измеримость, управляемость и подконтрольность (разработка механизмов, позволяющих участникам платежной системы (ППУ), испытывающим дефицит ликвидности, измерять потенциальные убытки и дефицит ликвидности, управлять ими и контролировать их);

создание надлежащих стимулов для управления платежными рисками и контроля за ними, участия в процессе восстановления (в том числе в случае дефолта участника платежной системы создание для оператора платежной системы и (или) ее владельца, участников платежной системы, иных заинтересованных сторон посредством использования механизмов восстановления стимулов для контроля величины платежных рисков, которые привносят в платежную и иные системы данные механизмы или которым они подвергаются в системе, с целью поддержания систем в процессе управления дефолтом участника). Указанные механизмы не должны предусматривать дополнительное финансирование за счет средств республиканского и местных бюджетов, государственных целевых бюджетных фондов, государственных внебюджетных фондов или средств Национального банка;

минимальное негативное воздействие (разработка механизмов восстановления, минимизирующих негативное воздействие реализованного платежного риска и (или) реализуемого сценария восстановления на участников платежной системы (ППУ) и финансовую систему в целом);

35.4. мониторинг, контроль (оценка достигнутых результатов) и корректировка тактики управления платежными рисками.

Внутренний мониторинг платежных рисков представляет собой систему сбора (накопления), обработки и анализа информации, на основе которой осуществляются оценка, контроль платежных рисков и составление соответствующей отчетности.

Тактика управления платежными рисками оценивается посредством ее сопоставления с полученным результатом. Если цели управления платежными рисками достигнуты либо полученные показатели превышают прогнозные (ожидаемые), результат считается положительным. Если цели управления платежными рисками не достигнуты или достигнуты частично, то результат считается отрицательным. При получении отрицательного результата проводится детальный анализ подходов к управлению платежными рисками, по итогам которого разрабатываются корректирующие мероприятия либо новая тактика управления платежными рисками.

Тактика управления платежными рисками корректируется с учетом изменения факторов, влияющих на платежные риски (совершенствование законодательства, программно-технической инфраструктуры, организационной структуры платежной системы и ее участников (ППУ), других факторов). Возможно расширение области применения тактики управления платежными рисками на ранее не охваченные или вновь возникающие системы и (или) технологии.

 

Приложение 1 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

ПЕРЕЧЕНЬ
платежных рисков, применимых в отношении различных видов ППУ

1. Платежные риски, применимые для оценки в платежной (клиринговой) системе, эмитентом электронных денег, клиринговым центром:

системный платежный риск;

юридический платежный риск;

расчетный риск;

операционный платежный риск;

платежный риск потери деловой репутации (репутационный платежный риск);

стратегический платежный риск;

общий коммерческий платежный риск;

депозитарный платежный риск;

инвестиционный платежный риск.

2. Платежные риски, применимые для оценки платежным агрегатором, поставщиком платежных услуг по операциям с электронными деньгами, за исключением эмитента электронных денег:

юридический платежный риск;

расчетный риск;

операционный платежный риск;

платежный риск потери деловой репутации (репутационный платежный риск);

стратегический платежный риск;

общий коммерческий платежный риск;

депозитарный платежный риск.

3. Платежные риски, применимые для оценки ППУ инициирования платежа, эмиссии (создания) или распространения платежных инструментов, услуг процессинга:

юридический платежный риск;

операционный платежный риск;

платежный риск потери деловой репутации (репутационный платежный риск);

стратегический платежный риск;

общий коммерческий платежный риск.

4. Платежные риски, применимые для оценки поставщиком информационных платежных услуг:

юридический платежный риск;

операционный платежный риск;

платежный риск потери деловой репутации (репутационный платежный риск);

общий коммерческий платежный риск.

 

Приложение 2 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

МЕТОДЫ
ограничения (снижения) и поддержания на приемлемом уровне расчетного риска

1. Разделение платежного потока на срочные и несрочные платежи:

обработка в режиме реального времени;

проведение расчетов на основе клиринга.

2. Оперативный мониторинг:

контроль состояния расчетов;

контроль очереди ожидания средств.

3. Экономические меры, обеспечивающие равномерность распределения платежного потока в течение операционного дня (ценовая политика).

 

Приложение 3 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

МЕТОДЫ
ограничения (снижения) и поддержания на приемлемом уровне операционного платежного риска

1. Обеспечение информационной безопасности и операционной надежности:

исключение возможности несанкционированного доступа;

разграничение доступа;

резервное копирование и архивирование данных и информационных ресурсов.

2. Непрерывность бизнес-процессов:

резервирование критичных программно-технических ресурсов;

применение лицензионного и сертифицированного программного обеспечения;

резервирование критичного персонала;

создание резервных вычислительных центров.

3. Документированные и регулярно тестируемые процедуры обеспечения непрерывной работы и восстановления работоспособности:

план обеспечения непрерывной работы и восстановления работоспособности и локальные правовые акты;

тренировка (тестирование, контроль) действий, предусмотренных планом обеспечения непрерывной работы и восстановления работоспособности.

4. Подготовка высококвалифицированного персонала:

целенаправленная кадровая политика;

обучение и повышение квалификации персонала.

5. Стандартизация и сертификация:

установление технических требований к программным и (или) программно-техническим средствам, их компонентам, финансовым электронным сообщениям и документам в электронном виде, интерфейсам пользователя, интерфейсам программирования приложений, информационной безопасности, информационным и цифровым технологиям и иным объектам с целью достижения оптимальной степени упорядочения процессов осуществления платежей и оказания платежных услуг;

определение порядка подтверждения соответствия установленным техническим требованиям и организаций, уполномоченных на проведение испытаний соответствия техническим требованиям.

 

Приложение 4 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

МЕТОДЫ
ограничения (снижения) и поддержания на приемлемом уровне платежного киберриска

Ограничение (снижение) рисков воздействия кибератак обеспечивается посредством:

периодического проведения анализа и оценки состояния системы управления платежным киберриском и возможных нарушений;

обеспечения соответствия системы управления платежным киберриском стратегическим целям и инициативам участника платежного рынка;

реализации надежных решений в сфере кибербезопасности с целью формирования основополагающих ресурсов и обеспечения производственной дисциплины.

Комплексная система управления платежным киберриском включает:

1) систему контроля за угрозами и факторами уязвимости, в том числе:

оценку киберугроз;

порядок реагирования на киберинциденты;

порядок устранения угроз и недостатков, прогнозирование изменения рисков на основе оперативной информации о внутренних и внешних факторах, влияющих на платежную систему (участников платежного рынка);

перечень квалифицированных поставщиков услуг по реагированию на инциденты;

2) систему управления идентификационной информацией и безопасным доступом, учитывающую:

необходимость периодической оценки рисков в сфере безопасности, связанных с внедрением новых технологий и динамичными изменениями в платежной системе;

порядок внедрения интегрированных и безопасных процессов, сервисов и инфраструктур для надлежащего контроля доступа к важным системам и активам;

3) систему управления инцидентами и кризисными ситуациями, в том числе:

наличие планов по недопущению кризисных ситуаций в сфере безопасности и эффективному реагированию на них;

описание подходов к своевременному и тщательному планированию, выявлению и расследованию инцидентов и нарушений в сфере безопасности;

4) систему защиты информации и обеспечения ее конфиденциальности, включающую в том числе:

защиту критичных активов;

порядок выявления, установления приоритетности и защиты критичных активов.

Комплексный подход к обеспечению устойчивости платежного рынка при управлении платежными киберрисками включает:

1) направленность.

Как правило, системы обеспечения устойчивости функционирования платежной системы, систем участников платежного рынка должны минимизировать негативный эффект от реализации определенных сценариев, по которым осуществляется кибератака, включая нарушение конфиденциальности, доступности и целостности данных и систем;

2) корпоративное управление при обеспечении кибербезопасности.

Система обеспечения устойчивости включает не только информационную инфраструктуру, но и персонал, процессы, обмен информацией;

3) набор необходимых мер.

Применение многообразных средств контроля и управления крайне важно при предотвращении кибератак, обнаружении попыток совершения кибератак и случаев их успешной реализации, восстановлении процесса оказания услуг до состояния, зафиксированного до совершения атаки.

 

Приложение 5 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

МЕТОДЫ
ограничения (снижения) и поддержания на приемлемом уровне платежного риска потери деловой репутации (репутационного платежного риска)

Методы управления платежным риском потери деловой репутации (репутационным платежным риском) предполагают анализ всех условий функционирования платежного рынка на предмет наличия или возможности возникновения факторов юридического платежного риска. Выявлению платежного риска потери деловой репутации (репутационного платежного риска) и указанных факторов юридического платежного риска способствуют:

анализ изменений в финансовой сфере или платежной сфере, которые могут оказать влияние на эффективность деятельности участника платежного рынка (например, внедрение и оценка платежных рисков новых технологий или финансовых инноваций);

анализ подверженности платежному риску потери деловой репутации (репутационному платежному риску) платежной системы (участника платежного рынка) и (или) отдельных направлений деятельности с учетом приоритетов участника;

анализ отдельных операций и других сделок;

анализ внутренних процедур и технологий;

идентификация участников платежной системы (ППУ), клиентов участника платежной системы (ППУ), идентификация участников платежного рынка (например, проверка клиента на предмет фальсификации документов и предоставления недостоверной информации участнику платежного рынка);

идентификация работников участника платежного рынка;

идентификация учредителей (акционеров), бенефициарных владельцев участника платежного рынка и их аффилированных лиц;

анализ сведений, полученных от клиентов, контрагентов;

иные мероприятия, определяемые участником платежной системы (ППУ) самостоятельно.

В целях минимизации платежного риска потери деловой репутации (репутационного платежного риска) используются следующие методы:

создание локальной правовой базы для исключения конфликта интересов между работниками участника платежного рынка и клиентами, контрагентами, между участниками платежного рынка и их работниками;

постоянный контроль за соблюдением работниками, акционерами участника платежного рынка и их аффилированными лицами, дочерними и зависимыми организациями законодательства в области платежных систем и платежных услуг;

анализ влияния факторов платежного риска потери деловой репутации (репутационного платежного риска) (как в совокупности, так и по отдельности) на показатели функционирования (деятельности) участников платежного рынка;

обеспечение своевременности проведения платежей и осуществления расчетов по поручению клиентов и контрагентов в платежных системах;

контроль за достоверностью финансовой отчетности и иной публикуемой информации, представляемой акционерам, клиентам и контрагентам, органам регулирования (оверсайта платежных систем) и другим заинтересованным лицам;

контроль за выполнением участниками платежной системы (ППУ) законодательства в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

обеспечение постоянного повышения квалификации работников участника платежного рынка, в том числе постоянного доступа к актуальной законодательной базе и локальным правовым актам участника платежного рынка;

обеспечение клиентов и пользователей необходимой и достаточной квалификацией для осуществления операций посредством платежной системы (пользования платежными услугами), в том числе подробными инструкциями по пользованию программно-техническими средствами, посредством которых оказываются платежные услуги.

 

Приложение 6 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

МЕТОДЫ
ограничения (снижения) и поддержания на приемлемом уровне стратегического платежного риска

При стратегическом планировании использования новых технологий и подходов на платежном рынке, оказании платежных услуг целесообразно учитывать следующие основные характеристики платежного рынка:

активная разработка и внедрение новых вариантов оказания платежных услуг и сопутствующих им новых технологий;

внесение изменений в законодательство, и (или) правила платежной системы, и (или) локальные правовые акты ППУ, направленные на повышение надежности и транспарентности платежной деятельности;

наличие (дефицит) специалистов в требуемой области на фоне быстрого развития и распространения новых технологий в платежной области;

многообразие зависимостей эффективности платежной деятельности от сторонних организаций (различных видов аутсорсинга);

усиление контроля за процессами, протекающими в киберпространстве банковской деятельности.

Количественной оценкой данного вида риска является размер превышения затрат на разработку систем (внедрение новых технологий) над прибылью от их использования (платежной деятельности, осуществляемой с их применением).

 

Приложение 7 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

МЕТОДИКА
управления платежными рисками

1. ППУ на регулярной основе осуществляет анализ устойчивости к присущим ему платежным рискам и определяет в своих локальных правовых актах такую процедуру. ППУ разрабатывает порядок использования результатов, полученных в процессе управления платежными рисками и анализа устойчивости ППУ, предусматривающий информирование о полученных результатах органов управления ППУ на регулярной основе, принятие ими решений.

2. Для информирования органов управления ППУ и должностных лиц для целей выявления негативных тенденций в деятельности ППУ:

2.1. использует внутреннюю отчетность, которая содержит:

сведения о профиле платежного риска ППУ;

краткую характеристику присущих платежных рисков и ключевых проблем управления ими;

информацию о выполнении (невыполнении) финансовых нормативов и нормативов безопасного функционирования;

информацию о невыполнении правил платежной системы (правил оказания платежных услуг ППУ), норм платежного соглашения, нарушении законодательства, в том числе законодательства в области платежных систем и платежных услуг;

2.2. определяет в своих локальных правовых актах порядок, состав, уровни и периодичность представления органам управления ППУ и должностным лицам внутренней отчетности, позволяющие обеспечить достаточность и своевременность информирования органов управления ППУ для принятия управленческих решений.

3. Органы управления ППУ обеспечивают эффективное управление платежными рисками, соответствующее его профилю платежного риска, видам оказываемых платежных услуг, иной деятельности, обеспечивающей его финансовую надежность.

4. ППУ обеспечивает постоянное участие органов управления в организации функционирования системы управления платежными рисками, четкое разграничение полномочий по управлению платежными рисками и ответственности между советом директоров (наблюдательным советом), исполнительным органом, комитетами, иными коллегиальными органами и должностными лицами, подразделениями, участвующими в процессах управления платежными рисками ППУ, взаимодействие между всеми участниками процесса управления платежными рисками.

5. Совет директоров (наблюдательный совет) ППУ обеспечивает организацию системы управления платежными рисками.

6. Исполнительный орган ППУ организовывает систему управления платежными рисками и обеспечивает выполнение поставленных целей и задач, а также утверждает локальные правовые акты, разработанные во исполнение стратегии управления платежными рисками и регламентирующие политику, методику и процедуры управления платежными рисками.

7. ППУ назначает должностное лицо, ответственное за управление платежными рисками, которое непосредственно подотчетно совету директоров (наблюдательному совету) и является работником ППУ. Его полномочия фиксируются в локальных правовых актах ППУ.

8. ППУ самостоятельно устанавливает квалификационные требования и требования к деловой репутации для должностных лиц, ответственных за управление платежными рисками.

9. Система управления платежными рисками обеспечивается квалифицированными специалистами, необходимыми информационными системами и соответствующей программно-технической инфраструктурой, позволяющими осуществлять сбор, обработку и анализ информации, используемой для управления платежными рисками, а также составление внутренней отчетности.

10. ППУ осуществляет постоянный анализ действующих информационных систем на предмет их возможности обеспечить функционирование системы управления платежными рисками и своевременно проводить их модернизацию.

11. Организационная структура системы управления платежными рисками реализуется таким образом, чтобы исключить конфликт интересов на всех уровнях, и соответствует организационно-функциональной структуре ППУ, характеру осуществляемой деятельности, видам оказываемых платежных услуг и иной деятельности.

12. ППУ учитывает полученные результаты в процессе стратегического планирования, совершенствования стратегии, политики и процедур управления платежными рисками, пересмотра (актуализации) планов обеспечения непрерывной работы и восстановления работоспособности.

13. Документы системы управления платежными рисками с целью оценки ее эффективности и актуальности представленной информации пересматриваются не реже одного раза в год либо по мере необходимости, связанной с наличием объективных причин (необходимость пересмотра документов системы управления платежными рисками в связи с модернизацией программно-технической инфраструктуры ППУ, изменение менеджмента организации, иные причины).

 

Приложение 8 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

ПОРЯДОК
внутреннего контроля платежных рисков

Порядок внутреннего контроля платежных рисков включает:

осуществление предварительного контроля путем подбора квалифицированных кадров, разработки детальных, не допускающих двоякого толкования должностных инструкций, исключающих возникновение конфликта интересов, порядка осуществления платежных операций, правил платежной системы (правил оказания платежных услуг ППУ), предварительного анализа присущих потенциальных платежных рисков, обеспечения необходимой программно-технической инфраструктурой, наличия планов обеспечения непрерывной работы и восстановления работоспособности;

осуществление текущего контроля путем проверки соблюдения требований законодательства, локальных правовых актов по управлению платежными рисками, установленных процедур принятия решений, лимитов, иных ограничений, правил платежной системы (правил оказания платежных услуг ППУ), тарифной политики, основных требований к порядку урегулирования неплатежеспособности участников платежных систем (ППУ), требований к обеспечению непрерывной работы и восстановления работоспособности, установленных Национальным банком;

осуществление последующего контроля путем проверки правильности и законности осуществления платежных операций (оказания платежных услуг), соблюдения требований к защите информации и обеспечению кибербезопасности при оказании платежных услуг, соблюдения стандартов проведения расчетов, форматов финансовых сообщений, обеспечения завершенности расчетов (выполнения платежных обязательств), бесперебойности функционирования платежной системы, информирования Национального банка и (или) участников платежной системы о случаях и причинах нарушения функционирования платежной системы (оказания платежных услуг), актуальности планов обеспечения непрерывной работы и восстановления работоспособности, соответствия выполняемых работниками функций должностным инструкциям;

сопоставление понесенных и прогнозируемых потерь, плановых и фактических показателей деятельности ППУ, величины присущих и остаточных платежных рисков;

оценку (самооценку) платежных рисков, а также оценку службой внутреннего аудита (при ее наличии) эффективности системы управления платежными рисками ППУ.

 

Приложение 9 к Инструкции об организации системы управления платежными рисками у поставщика платежных услуг

МЕТОДИКА
оценки платежных рисков

1. Оценка платежного риска связана с качественной и (или) количественной оценкой влияния нежелательного события (кризисной (сбойной) ситуации) на платежный рынок и вероятностью его наступления.

Качественные методы оценки платежного риска представляют собой описание уровня платежного риска в вербальной форме. Цель качественной оценки платежного риска заключается в принятии управленческих и организационных решений. Качественная оценка проводится в случаях, когда невозможно получить точные количественные характеристики на основе фактических или прогнозируемых данных, и предусматривает определение негативных последствий, вероятности их наступления и уровня платежного риска в виде уровней значимости (например, высокий, средний, низкий).

Количественный метод оценки платежного риска представляет собой расчет количественных показателей и (или) присвоение качественным показателям количественных значений. Цель количественной оценки заключается в определении предела потерь по операции, как правило, в стоимостном выражении. Такой метод имеет следующие преимущества:

позволяет обосновать размеры резервов для покрытия оцениваемого платежного риска;

обеспечивает возможность суммирования всех видов платежных рисков и определения предела финансовых потерь на платежном рынке.

2. Юридический платежный риск оценивается экспертами на основе мотивированных суждений. При этом анализируются соответствие деятельности участников платежного рынка и правил платежной системы (правил оказания платежных услуг ППУ) законодательству, полнота и достаточность регулирующих функционирование платежной системы (платежного рынка) нормативных правовых актов Национального банка, а также договоров (соглашений), заключенных с участниками платежной системы.

Достаточная нормативная правовая база и договорные отношения участников платежного рынка позволяют снизить юридический платежный риск. При совершенствовании законодательства в сфере платежных правоотношений важной является своевременная актуализация документов, регламентирующих функционирование платежного рынка.

3. Для оценки расчетного платежного риска используются следующие методы:

составление рейтинговых систем (моделей);

присвоение конкретным заемщикам весовых факторов кредитного платежного риска;

статистический анализ;

определение статической ликвидности;

определение динамической ликвидности;

определение нормы минимальных резервов;

иные, определяемые ППУ самостоятельно.

4. Для оценки операционного платежного риска используются:

метод статистического анализа распределения фактических убытков;

балльно-весовой метод (метод оценочных карт);

метод экспертных оценок;

метод моделирования (сценарного анализа);

иные, определяемые ППУ самостоятельно.

Метод статистического анализа распределения фактических убытков позволяет сделать прогноз потенциальных операционных убытков исходя из статистических данных о размерах операционных убытков, имевших место в прошлом. Статистические методы и модели активно используются в случае, если вероятность наступления конкретного вида операционного платежного риска достаточно велика. При применении этого метода в качестве исходной рекомендуется использовать информацию, накопленную в аналитической базе данных о понесенных операционных убытках за предыдущие периоды.

Сущность балльно-весового метода (метода оценочных карт) заключается в оценке операционного платежного риска путем сопоставления данного риска с мерами по его ограничению (снижению). На основе экспертного анализа выбираются информативные для целей управления операционным платежным риском показатели, определяется их относительная значимость (весовые коэффициенты). Выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются. Применение балльно-весового метода (метода оценочных карт) для оценки уровня операционного платежного риска позволяет выявить слабые и сильные стороны в управлении операционным платежным риском.

В рамках метода моделирования (сценарного анализа) на основе экспертного анализа определяются возможные сценарии возникновения события или обстоятельств, приводящих к операционным убыткам, разрабатывается модель распределения частоты возникновения и размеров убытков, которая используется для оценки операционного риска.

Мониторинг потерь от наступления операционного платежного риска включает анализ каждого случая реализации данного риска, описание причин их возникновения.

Для выявления в защите платежной системы (систем участников платежного рынка) мест, наиболее подверженных операционному платежному риску, и определения источника данного риска рекомендуется проводить анализ выполняемых функций с учетом используемых ресурсов и обрабатываемой на указанных ресурсах информации, позволяющий выявить и оценить конкретные факторы риска, определить перечень угроз, которые необходимо принимать во внимание при оценке уровня операционного платежного риска, и меры по их нейтрализации.

5. Метод количественной оценки уровня операционного платежного риска и эффективности платежной системы (эффективности деятельности участника платежного рынка) в обычных (нестрессовых) условиях дает возможность определить функции органов управления операционным платежным риском, методы выявления и оценки операционного платежного риска, установить принципы создания системы внутреннего контроля и отчетности, позволяющей осуществлять мониторинг уровня операционного платежного риска.