ПРОЕКТ
ПОЛИТИКА
по управлению рисками в платежной системе
Кыргызской Республики
1. Общие положения
1. Настоящая Политика по управлению рисками в платежной системе Кыргызской Республики (далее – Политика) разработана в соответствии с Гражданским кодексом Кыргызской Республики, Законами «О Национальном банке Кыргызской Республики», «О банках и банковской деятельности в Кыргызской Республике», «О лицензионно - разрешительной системе в Кыргызской Республике», «О платежной системе Кыргызской Республики» и другими нормативными правовыми актами Национального банка Кыргызской Республики.
2. Управление рисками в платежной системе Кыргызской Республики – это деятельность Национального банка Кыргызской Республики (далее – Национальный банк), финансово-кредитных учреждений, операторов платежных систем, платежных организаций, оказывающих платежные услуги и услуги процессинга (далее – участники платежной системы), направленная на обеспечение бесперебойности функционирования платежной системы Кыргызской Республики путем идентификации, оценки и анализа, мониторинга, предупреждения и снижения рисков.
3. Настоящая Политика направлена на организацию процесса управления рисками, возникающими в деятельности субъектов платежных систем Кыргызской Республики, для поддержания надежности и эффективности платежной системы Кыргызской Республики.
4. Настоящая Политика определяет основные цели, задачи и принципы управления рисками в платежной системе Кыргызской Республики, методы его организации и обеспечения.
5. В целях реализации настоящей Политики разрабатываются инструкции и процедуры по осуществлению мер, направленных на ограничение рисков и принятие управленческих решений по регулированию платежных систем, функционирующих на территории Кыргызской Республики.
2. Термины и определения
Автоматизированная торговая система Национального банка Кыргызской Республики (АТС) – программно-аппаратный комплекс Национального банка, предназначенный для автоматизации проведения операций на финансовых рынках Кыргызской Республики.
Бесперебойное функционирование платежной системы – организация и обеспечение работы платежной системы по предупреждению нарушения требований законодательства, правил платежной системы, заключенных договоров и соглашений, использования информационно-коммуникационных технологий, технического обслуживания платежной системы при взаимодействии участников платежной системы, а также восстановлению надлежащего функционирования платежной системы в случае их нарушения.
Государственные ценные бумаги (далее - ГЦБ) – ценные бумаги, выпущенные Национальным банком и Министерством финансов Кыргызской Республики.
Риски в платежной системе – вероятность возникновения неблагоприятных последствий при несоблюдении нормативных правовых актов и правил платежной системы.
Компоненты платежной системы – платежные системы, предназначенные для проведения межбанковских платежей и расчетов (система крупных платежей, системы розничных платежей), и другие взаимосвязанные технологии платежных систем, посредством которых осуществляются платежи и расчеты в рамках правил платежной системы.
Система крупных платежей - система, в которой расчеты между кредитно-финансовыми учреждениями происходят индивидуально по каждому платежному документу согласно правилам и процедурам системы и отражаются непосредственно на счетах участников платежных систем, открытых в Национальном Банке.
Система розничных платежей - система, предназначена для обработки мелких розничных и регулярных платежей участников, по которым не требуется немедленное проведение окончательного расчета.
Субъекты платежных систем – при совместном упоминании, с учетом особенностей платежных систем, Национальный банк, банки и другие финансово-кредитные учреждения, небанковские финансово-кредитные учреждения, операторы платежных систем, платежные организации и участники платежных систем, оказывающие услуги платежной инфраструктуры.
FIFO (first in first out) - принцип обработки платежей, при котором платежи обрабатываются последовательно в порядке их поступления.
Поставка против платежа (DVP) - принцип расчёта, который гарантирует, что окончательный перевод одного актива происходит сразу и только в том случае, если происходит окончательный перевод другого актива. Активы могут быть в виде валюты, ценных бумаг и других финансовых инструментов.
Платеж против платежа (PVP) - принцип расчета, который предусматривает, что окончательный перевод одной иностранной валюты произойдет только в том случае, если будет произведен окончательный перевод другой иностранной валюты или валют.
3. Цели, задачи и принципы управления рисками в платежной системе
Кыргызской Республики
6. Основные цели управления рисками в платежной системе Кыргызской Республики заключаются в обеспечении бесперебойности функционирования платежной системы Кыргызской Республики и снижении степени влияния факторов риска на системный риск, что будет способствовать повышению эффективности и безопасности платежной системы Кыргызской Республики.
7. Достижение целей управления рисками в платежной системе Кыргызской Республики предполагают выполнение следующих задач:
1) прогнозирование наступления неблагоприятных событий, при реализации которых может быть нарушено бесперебойное функционирование платежной системы;
2) содействие устойчивой работе платежной системы;
3) предупреждение и предотвращение возможности реализации рисков;
4) выявление рисков и определение причин их возникновения;
5) сдерживание рисков;
6) оценка уровня рисков;
7) мониторинг и анализ рисков на постоянной основе;
8) организация процесса своевременного устранения последствий реализации рисков и создание механизмов восстановления работоспособности платежных систем в случае ее нарушения;
9) определение способов достижения и поддержания приемлемого уровня рисков в платежной системе;
10) обеспечение информационного взаимодействия субъектов платежной системы в целях реализации мероприятий, направленных на снижение выявленных рисков;
11) выработка и осуществление мер, направленных на противодействие факторам рисков и принятие управленческих решений по регулированию платежных систем;
12) оперативное реагирование процесса управления рисками к изменяющимся условиям рынка услуг платежной инфраструктуры.
8. Управление рисками в платежной системе Кыргызской Республики осуществляется путем установления мер по обеспечению выполнения следующих основных принципов.
8.1. Распределение ответственности по окончательности и безотзывности платежей
8.1.1. Платежи, расчеты по которым проведены в системе крупных платежей Национального банка, являются безотзывными в момент дебетования счета банка-плательщика, и окончательными - в момент кредитования счета банка-получателя, открытых в Национальном банке. Система крупных платежей должна обеспечивать одновременность выполнения этих двух операций. В системе крупных платежей расчеты осуществляются только по кредитовым поручениям. Исключением являются чистые дебетовые позиции, поступающие из систем розничных платежей для проведения расчетов, а также дебетовые платежи, инициируемые Национальным банком. Банк-плательщик может отозвать кредитовое платежное поручение только в течение периода, пока платеж находится в очереди на исполнение.
8.1.2. Платежи, расчеты по которым проведены через системы розничных платежей, являются безотзывными для банка-плательщика в момент расчета чистых позиций в системе крупных платежей Национального банка.
8.1.3. Платежное поручение становится безотзывным и окончательным для клиента-плательщика в момент получения платежного документа банком-плательщиком и дебетования счета клиента. Платежное поручение становится окончательным для клиента-получателя в момент кредитования банком-получателем счета получателя. Данные положения должны быть включены в договор, подписанный между коммерческим банком и его клиентом.
8.2. Исключение пересчета чистых позиций (откат) в системах розничных платежей. По всем многосторонним чистым позициям, полученным в результате клирингового цикла/дня в клиринговой системе, должны быть обеспечены условия для проведения окончательных расчетов в системе крупных платежей. В клиринговой системе Национальным банком может быть установлен лимит на максимальный объем отдельных платежей.
8.3. Определение требований и ответственность по участию в платежной системе разделяются на прямых участников платежных систем и специальных участников. . Прямые участники платежных систем должны создать свою внутреннюю инфраструктуру для обеспечения эффективного подключения своих филиалов, непрямых участников суб-участников, специальных участников к центру обработки платежей в головном учреждении с тем, чтобы способствовать проведению прямой сквозной обработки платежей (STP) и своевременному проведению платежей от имени своих клиентов.
8.4. Проведение межбанковских расчетов через единый счет в Национальном банке. Окончательные расчеты по межбанковским платежам должны осуществляться по счетам участников платежных систем, открытым в Национальном банке, через систему крупных платежей Национального банка.
8.5. Соблюдение приоритетности платежей
8.5.1. В системе крупных платежей Национального банка устанавливаются следующие приоритеты: наивысший приоритет имеют транзакций Национального банка и чистые позициям систем розничных платежей. Наименьший приоритет имеют– межбанковские платежи, инициируемые банками. Платежи должны обрабатываться в рамках приоритета по принципу FIFO.
8.6. Системы расчетов ценными бумагами должны предусматривать механизмы, гарантирующие одновременное списание средств по счетам ценных бумаг и по денежным средствам по принципу соблюдения DVP.
8.7. Система расчетов в иностранной валюте должна быть направлена на минимизацию времени разрыва между расчетами по одной стороне сделки за пределами страны и расчетом по операции в национальной валюте и, в конечном счете, обеспечивать одновременное списание средств по счетам в иностранной валюте и по денежным средствам в национальной валюте по принципу соблюдения PVP.
8.8. Наличие инструментов по управлению ликвидностью в расчетах. С целью создания механизма управления ликвидностью в межбанковских платежных системах используется единый пул ликвидности, сосредоточенный на счетах в системе крупных платежей Национального банка, используемый участниками для проведения межбанковских платежей. Инструменты управления ликвидностью системы крупных платежей Национального банка должны позволять участникам платежных систем осуществлять мониторинг в режиме реального времени за состоянием счета и предоставлять механизмы по управлению счетом, оценки необходимости получения кредитов для выполнения резервных требований или размещения излишней ликвидности на межбанковском рынке. Управление ликвидностью может осуществляться с применением следующих инструментов:
8.8.1. Денежные средства на счете в Национальном банке для целей проведения межбанковских расчетов участниками платежных систем - должны использоваться без каких-либо ограничений.
8.8.2. Внутридневные кредиты доступны только для участников платежных систем соответствующих требованиям Национального банка на получение внутридневного кредита и обеспеченные обязательным залоговым покрытием в виде государственных ценных бумаг, с обязательством возврата к концу операционного дня в системе крупных платежей Национального банка - должны предоставляться на основании заключенного между Банком и Национальным банком Генерального соглашения на получение внутридневного кредита. Выдача внутридневного кредита осуществляется в национальной валюте, на беспроцентной основе, в любой рабочий день, кроме последнего рабочего дня квартала.
8.8.3. Непогашенный внутридневной кредит автоматически пролонгируется в автоматизированной торговой системе (АТС) до следующего рабочего дня, с переоформлением в кредит «овернайт», с процентной ставкой, которая устанавливается за пользование кредитом «овернайт» на дату переоформления. Пролонгация кредита осуществляется только один раз.
8.8.4. Кредит «овернайт” - должен быть доступен только для участников платежных систем, соответствующим требованиям Национального банка на получение кредита «овернайт» по фиксированной процентной ставке, под залоговое обеспечение в виде государственной ценной бумаги (ГЦБ), в любой рабочий день, кроме последнего рабочего дня квартала. Кредит «овернайт» предоставляется в национальной валюте, со сроком погашения на следующий рабочий день после дня его выдачи на основании заключенного между Банком и Национальным банком Генерального соглашения и при соответствии участника платежной системы требованиям Национального банка на получение кредита «овернайт». В случае если кредит «овернайт», предоставленный Банку, просрочен, Национальный банк осуществляет погашение кредита «овернайт», начисленных по нему процентов и штрафа за счет обращения взыскания на предмет заклада в соответствии с законодательством Кыргызской Республики.
8.8.5. Наличие расчетного окна в системе крупных платежей Национального банка. Система крупных платежей Национального банка должна предусматривать межбанковское расчетное окно в конце операционного дня для целей проведения расчетов по платежам, находящимся в очереди на момент открытия окна, и возврата внутридневных кредитов путем получения средств на межбанковском рынке или за счет получения кредита овернайт Национального банка. Платежи в очереди, расчет по которым не был проведен к моменту закрытия расчетного окна, должны быть отвергнуты.
4. Виды рисков в платежной системе
9. Факторы риска нарушения бесперебойности функционирования платежной системы делятся на внутренние и внешние.
Внутренние факторы риска влияют на работоспособность платежной системы посредством воздействия внутренней среды платежной системы на эффективность деятельности платежной системы. К внутренним факторам риска, способным оказать влияние на нарушение бесперебойности функционирования платежной системы, относятся недостатки внутренних документов, условий договоров и соглашений, сбои в работе информационной системы, повреждение каналов связи и оборудования, несовершенство системы информационной защиты, недостаточная квалификация и ненадлежащие действия персонала субъектов платежной системы, отсутствие резервных схем и др. Внутренние факторы оказывают влияние на финансовые, правовые, операционные риски, риски мошенничества и потери деловой репутации.
Внешние факторы риска воздействуют на платежную систему из внешней по отношению к платежной системе среды и способны создать угрозу для бесперебойного и безопасного функционирования платежной системы. К внешним факторам риска относятся факторы естественных непреодолимых сил (землетрясения, наводнения, природные катаклизмы), техногенные факторы (пожары, затопления, взрывы, химические и радиационные заражения, энергетические и телекоммуникационные аварии и т.д.), социальные факторы (военные действия, массовые беспорядки, теракты и т.д.) и криминальные факторы (хакерские атаки, мошеннические действия, противоправные действия персонала субъектов платежной системы или посторонних лиц в отношении функционирования платежной системы и т.д.). Внешние факторы обусловливают вероятность возникновения правового риска, рисков мошенничества, хакерской атаки и потери деловой репутации.
10. Предметом основного внимания в платежной системе являются финансовые риски. К финансовым рискам относятся системный риск, риск ликвидности и кредитный риск.
Системный риск – риск, возникающий вследствие неспособности одного из участников платежной системы обеспечить исполнение своих обязательств в срок. Реализация одного или нескольких рисков одного участника платежной системы может вызвать реализацию системного риска, что, в свою очередь, может создать угрозу для стабильности платежной и банковской систем в целом. К рискам, которые могут вызвать реализацию системного риска, относятся риск ликвидности, кредитный.
Риск ликвидности – риск, возникающий вследствие неспособности участника платежной системы в связи с недостатком или отсутствием денежных средств обеспечить исполнение своих обязательств в полном объеме. Риск ликвидности не означает, что участник платежной системы является неплатежеспособным. Он в состоянии произвести расчет по своему обязательству, но не в точно установленные сроки в будущем. Вероятность наступления данного вида риска связана с несбалансированностью финансовых активов и финансовых обязательств участника платежной системы. Проблемы с ликвидностью и кредитоспособностью способны нарушить своевременность расчетов.
Кредитный риск – риск, возникающий вследствие неспособности участника платежной системы исполнить свои финансовые обязательства по оплате оказанных услуг платежной инфраструктуры перед другими участниками при наступлении срока платежа или в любое последующее время. Кредитный риск создает угрозу финансовой устойчивости участников платежной системы, что может повлиять на бесперебойность функционирования платежной системы.
11. К числу нефинансовых рисков, связанных с платежной системой, относятся правовой и операционный риски.
Правовой риск – риск, возникающий вследствие несоблюдения требований законодательства Кыргызской Республики, нормативных правовых актов Национального банка, условий договоров и соглашений, внутренних документов банков, операторов и участников платежных систем, платежных организаций, определяющих нормы и правила функционирования платежных систем, несовершенства правовой системы, частоты изменений в законодательстве, а также наличия правовой неопределенности в отношениях с другими участниками платежных систем.
Операционный риск – риск, возникающий вследствие нарушения работоспособности аппаратно-программного комплекса, ненадлежащего действия персонала субъектов платежной системы, а также воздействия внешних факторов, реализация которого вызывает невозможность проведения платежей и расчетов из-за технических сбоев в аппаратно-программном комплексе и коммуникационных каналах связи, неисправности технической инфраструктуры, нарушений правил платежной системы, требований защиты информации, либо невозможность функционирования платежной системы в целом.
12. При отсутствии процесса мониторинга и механизмов управления рисками и контроля /оценки финансовых и нефинансовых рисков участники платежных систем дополнительно подвергаются следующим рискам.
Риск мошенничества – риск, возникающий вследствие неправомерных действий работников участника платежных систем, заключающихся в злоупотреблении служебным положением, несанкционированном использовании служебной информацией, хищении, преднамеренном сокрытии фактов совершения операций в рамках платежной системы, а также противоправных действий сторонних лиц по отношению к платежной системе, таких как хищение персональных данных, получение конфиденциальной информации, проникновение в базу данных и т.д. посредством действий мошенников, провоцирующих пользователей услуг платежной инфраструктуры к вступлению с ними в контакты с целью хищения средств пользователей услуг платежной инфраструктуры, приводящей к финансовым потерям.
Риск хакерской атаки – риск, возникающий вследствие воздействия на информационные ресурсы и информационно-телекоммуникационные средства платежной системы путем несанкционированного входа в информационные системы, внедрения специальных технических средств, заражения компьютерными вирусами и другими вредоносными программами с целью получения персональной информации пользователей услуг платежной инфраструктуры (пароли, ПИН-коды, номера банковских карт, аналог собственноручной подписи, персональные данные пользователей), уничтожения и нарушения целостности баз данных, блокирования и вывода из строя информационных компьютерных систем.
Риск потери деловой репутации – репутационный риск, возникающий вследствие формирования в обществе негативного представления о стабильности платежной системы, отрицательной оценки качества предоставляемых услуг в платежной системе, в том числе вследствие распространения ложной информации, ведущей к утрате доверия к платежной системе или участникам платежной системы.
5. Основные этапы управления рисками в платежной системе
13. Идентификация рисков – процесс выявления рисков, определение причин и предпосылок появления рисков, угрожающих бесперебойности и безопасности функционирования платежной системы Кыргызской Республики.
14. Оценка и анализ рисков – процесс обработки информации, полученной в результате идентификации рисков, исследование особенностей и последствий реализации рисков.
15. Мониторинг рисков – процесс отслеживания факторов, влияющих на бесперебойность и безопасность функционирования платежных систем.
16. Разработка и осуществление мероприятий по предупреждению рисков – процесс выработки и реализации мер, позволяющих уменьшить вероятность возникновения негативных событий для функционирования платежной системы.
17. Разработка и реализация методов по снижению рисков – процесс управления рисками, представляющий собой комплекс мероприятий, направленный на минимизацию последствий реализации рисков и получение возмещения при наступлении убытков, связанных с реализацией рисков (Приложение 1).
6. Механизмы снижения рисков в платежной системе
18. Для снижения рисков, связанных с проведением срочных и крупных платежей, платежная система предусматривает следующие механизмы управления рисками.
18.1.В целях снижения финансовых рисков в системе оператором предусматриваются следующие меры с использованием механизмов управления ликвидностью участников:
18.1.1. мониторинг в режиме реального времени достаточности средств участников для исполнения своих обязательств;
18.1.2. проведение расчетных операций в системе только в пределах кредитового остатка на счете участника-плательщика в Национальном банке;
18.1.3. обеспечение просмотра участниками остатков на своих счетах в Национальном банке в режиме реального времени;
18.1.4. обеспечение возможности резервирования средств для обеспечения взаимодействия со смежными системами;
18.1.5. обработка платежей в соответствии с установленными приоритетами;
18.1.6. управление участниками очередью своих платежей (изменение приоритетов платежей, отзыв платежей из очереди платежей и т.д.);
18.1.7. предоставление Национальным банком кредитных средств, , обеспеченных соответствующим залогом;
18.1.8. обеспечение установления лимитов на чистую дебетовую позицию участников систем розничных платежей.
18.2. В целях минимизации операционных рисков в системе оператором обеспечивается выполнение следующих мер:
18.2.1. обеспечение двойного ввода ключевых полей при подготовке платежных документов в ручном режиме;
18.2.2. дублирование аппаратного и программного обеспечения в основном узле;
18.2.3. дублирование в резервном центре информации основного узла;
18.2.4. дублирование каналов связи для обеспечения непрерывной связи между основным узлом и автоматизированными рабочими местами участников;
18.2.5. организация бесперебойного электроснабжения основного и резервного узлов;
18.2.6. обеспечение средств авторизации и аутентификации участников и персонала системы, шифрование каналов передачи данных для защиты от несанкционированного доступа;
18.2.7. применение электронной цифровой подписи для обеспечения достоверности и целостности передаваемой информации;
18.2.8. применение мер антивирусной защиты для обеспечения информационной безопасности программного обеспечения системы;
18.2.9. обеспечение резервного копирования всех операций, проводимых в системе для хранения и восстановления данных в случае возникновения опасности потерь или их дублирования;
18.2.10. ведение архивов всех отправленных и поступивших электронных сообщений для обеспечения сохранности электронных документов в системе;
18.2.11. осуществление регулярного контроля соблюдения участниками правил функционирования системы.
18.3. В целях минимизации правовых рисков в системе оператором принимаются меры по устранению правовой неопределенности в отношениях с участниками, осуществляется контроль за соблюдением участниками условий подписанных договоров и соглашений, норм и правил работы системы, установленных настоящим Положением и иными нормативными правовыми актами Национального банка.
18.4. Участники системы самостоятельно обеспечивают необходимую ликвидность на своих счетах, открытых в Национальном банке, с использованием инструментов управления ликвидностью (анализ структуры и качества активов и пассивов, расчет денежных потоков и т.д.).
18.5. Участники системы предусматривают в своих внутренних нормативных документах методы управления рисками при работе в системе.
18.6. Оператор системы обеспечивает проведение мониторинга и оценку по каждому виду рисков в системе на постоянной основе.
19. Для снижения рисков, связанных с проведением платежей в системе пакетного клиринга платежная система предусматривает следующие механизмы управления рисками:
19.1.В целях снижения финансовых рисков в системе устанавливаются лимиты на максимальную сумму одного платежа и резерв на чистые дебетовые позиции участников.
19.2. В целях предотвращения кризисных ситуаций участники клиринговой системы должны использовать инструменты управления ликвидностью в расчетах, включая возможность создания общего Страхового Фонда на основе собственных средств, размер которого должен покрывать сумму наибольшего среднестатистического внутридневного дебетового сальдо по корреспондентским счетам в Национальном банке на момент окончательного расчета по чистым позициям, установленный регламентом.
19.3. Для этого участники обеспечивают необходимую ликвидность на своих счетах в Национальном банке на момент завершения окончательного расчёта с использованием инструментов управления ликвидностью.
19.4. Оператор системы должен регулярно проводить периодическую оценку состоятельности участников клиринговой системы и исключать или временно приостанавливать участие проблемных участников в клиринговой системе в соответствии с решением постановления Правления Национального банка.
19.5. В целях снижения операционных рисков и рисков, связанных с чрезвычайными ситуациями (стихийные бедствия, военные действия и т.п.) и обеспечения бесперебойного функционирования системы работа основного клирингового центра должна дублироваться в резервном центре.
19.6. Для обеспечения непрерывной связи между клиринговым центром и автоматизированными рабочими местами участников в системе должно быть предусмотрено соединение через выделенный канал связи, канал SWIFT и соответствующие им резервные каналы.
19.7. Для защиты от несанкционированного доступа применяется шифрование каналов передачи данных, авторизация и аутентификация участников и персонала системы. Достоверность и целостность передаваемой информации обеспечивается применением электронной цифровой подписи.
19.8. Для хранения и восстановления данных в системе в случаях опасности потерь или их дублирования используется резервное копирование и архивирование всех отправленных в систему и полученных из системы сообщений участников.
20. Для снижения рисков, связанных с проведением расчетов с использованием банковских платежных карт платежная система предусматривает следующие механизмы управления рисками:
20.1. Клиринг и расчеты по транзакциям с использованием платежных карт должны проводиться в клиринговой системе платежей после передачи банком-отправителем файлов транзакций по платежам с использованием карт, сформированных на основе обработки данных в процессинговом центре.
20.2. Для ограничения рисков и защиты прав держателей карт правила системы расчетов с использованием банковских платежных карт и типовые договоры должны быть опубликованы с целью широкой информированности общественности. Держатель карты должен быть предварительно ознакомлен с правилами и типовыми условиями договора до того, как ему будет выдана карта.
20.3. Правила и процедуры системы расчетов банковскими платежными картами должны предусматривать ответственность держателя карты и эмитента карты с целью предотвращения создания дубликатов, несанкционированного использования. Банк-эмитент должен заблокировать карту в случае нарушения правил держателем карты.
20.4. Правила, процедуры и договоры по системе банковских платежных карт должны устанавливать право эмитента карты на внесение карты системы в стоп-лист без согласия ее держателя в случае его неплатежеспособности или нарушения им условий договора при одновременном уведомлении об этом держателя карты.
21. Для снижения рисков в платежной системе при осуществлении денежных переводов по системам денежных переводов, платежная система предусматривает следующие механизмы управления рисками:
21.1. В системе должен быть механизм по управлению справочниками отправителей и получателей, проверке клиентов по спискам террористов, выпускаемым международными организациями, национальным списком террористов, национальным списком подозреваемых в причастности к терроризму.
21.2. Наличие в системе и в договорной базе правил и процедур по разрешению споров (ошибочный денежный перевод, возврат, отказ от денежного перевода и т.п.).
21.3. Обеспечение гарантии финансовых обязательств перед участником платежной системы в соответствии с нормативными правовыми актами Национального банка.
22. Для снижения рисков в платежной системе при осуществлении расчетов с электронными деньгами платежная система предусматривает следующие механизмы управления рисками:
22.1. В целях снижения операционного риска, связанного с возможными убытками в результате недостатков организации системы или злоупотреблений лиц, имеющих доступ к системе электронных денег, необходимо осуществлять постоянный мониторинг за состоянием и функционированием аппаратно-программных средств, а также совершенствование средств защиты информации.
22.2. Система расчетов с использованием электронных денег должна быть обеспечена внутренними правилами и процедурами использования электронных денег и договорными отношениями, регулирующими работу системы. Система электронных денег должна обеспечивать соответствующие механизмы технической, организационной, технологической безопасности для недопущения, предотвращения и распознавания рисков угрозы безопасности в соответствии с требованиями законодательства Кыргызской Республики.
22.3. Система электронных денег должна обладать механизмами защиты от мошеннических действий и выявления подозрительных и сомнительных транзакций (операций), приостановления операций и блокирования электронных кошельков, осуществляемых или принадлежащих лицам, включенным в перечень лиц, причастных к террористической и экстремистской деятельности, в соответствии с требованиями законодательства Кыргызской Республики.
22.4. Система электронных денег должна обладать возможностью установления лимитов по платежам, формирования необходимых статистических и информационных отчетов о денежном обращении в форме электронных денег в соответствии с требованиями Национального банка в рамках надзора за платежной системой Кыргызской Республики, банковского надзора и денежно-кредитной политики.
22.5. Система электронных денег может иметь возможность эффективного интегрирования с взаимодействующими системами участников электронных денег (внутренняя система по учету движения денежных средств) путем использования унифицированных стандартов передачи данных и форматов платежей для снижения издержек акцептантов и держателей электронных денег при их использовании.
22.6. Система электронных денег должна быть эффективной для участников по использованию электронных денег, доступной по цене и удобной в использовании для держателей электронных денег, соответствовать требованиям, направленным на защиту прав потребителей.
22.7. Система расчетов с использованием электронных денег должна пройти успешное тестирование перед запуском в промышленную эксплуатацию.
22.8.Система расчетов с использованием электронных денег должна подвергнуться анализу сертифицированной организации на наличие уязвимостей для внешних и внутренних факторов.
23. Для снижения рисков в платежной системе при осуществлении расчетов дистанционного обслуживания, платежная система предусматривает следующие механизмы управления рисками:
23.1. Наличие комплексной системы по обеспечению информационной безопасности дистанционного банкинга, которая должна содержать следующие аспекты:
- выявление и оценка рисков, связанных с предоставлением дистанционных банковских и платежных услуг;
- определение мер по снижению рисков, в том числе, применение соответствующих технологий идентификации клиента и норм внутреннего контроля;
- определение мер по защите информации клиента от несанкционированного доступа и обеспечение целостности данной информации;
- оценка мер по информированию клиентов;
- определение и оценка лимитов по транзакциям по банковским счетам, электронным кошелькам;
- контроль осуществления транзакций по лимитам, установленным по открытию и проведению платежей через электронные кошельки.
23.2. Поставщик услуг по мере необходимости обязан корректировать и обновлять свою систему информационной безопасности в соответствии с любыми изменениями в технологии предоставления дистанционного банкинга, при обнаружении уязвимости в информационных системах, для обеспечения при возникновении внешних или внутренних угроз мошенничества, конфиденциальности и целостности информации.
23.3. Поставщик услуг должен обеспечить своевременное обновление и модернизацию систем безопасности согласно утвержденным внутренним процедурам.
24.4. Для обеспечения идентификации своих пользователей поставщик услуг должен применять методики по снижению возможных рисков. Поставщик услуг должен отслеживать, оценивать и внедрять новые технологии идентификации клиента, а также в зависимости от вида операции и уровня доступа обеспечивать внедрение соответствующих изменений в систему идентификации клиента на основе существующих факторов риска.
25. Для снижения рисков в платежной системе при операционных ошибках и сбоях платежная система предусматривает следующие механизмы управления рисками:
25.1.В целях предотвращения незаконного использования платежных инструментов, а также незаконного проведения операций по платежам должен применяться механизм проверки личности и правомочности лиц, производящих, обрабатывающих и получающих платежи, обеспечиваться конфиденциальность информации, а также ограничиваться доступ к центрам обработки и каналам связи, используемым для передачи информации по платежам. При этом особое внимание должно уделяться физической безопасности помещений и оборудования, а также защите данных как во время их хранения, так и в процессе передачи. (Приложение 1)
25.2.В автоматизированных системах должен обеспечиваться контроль ввода данных, исключающий или снижающий возможность ошибки. Все оборудование и программное обеспечение автоматизированных систем должно пройти тщательное тестирование, опытную эксплуатацию и должно иметь документацию в соответствии с установленными стандартами.
25.3. В целях снижения операционных сбоев и преодоления факторов непреодолимой силы должно использоваться резервирование, которое в любой момент может быть немедленно введено в действие без остановки работы. Резервные механизмы должны быть хорошо изучены операционным персоналом, быть эффективными, безопасными и не нарушать нормальную работу платежной системы.
25.4. При обнаружении рисков указанные в разделе 4, где один из участников платежной системы не в состоянии совершить свои функции, оператор должен:
- в срок не более 1 (одного) дня с момента обнаружения риска уведомить Национальный банк посредством отправки электронного и письменного сообщения и телефонного звонка уполномоченному структурному подразделению;
- уведомить сторону или стороны, подвергающиеся риску;
- обеспечить для других участников возможность выполнения своих обязательств.
25.5. Во избежание ошибок все платежные инструменты должны быть достаточно простыми в использовании и обеспечивать однозначное понимание всеми участниками платежной системы.
7. Заключительные положения
26. Участники платежных систем самостоятельно осуществляют управление рисками, присущими осуществляемому ими виду деятельности в платежной системе Кыргызской Республики, и несут ответственность за последствия реализации указанных рисков.
27. Национальный банк осуществляет надзор (оверсайт) за платежной системой Кыргызской Республики, направленный на защиту платежной системы от возможного «эффекта домино», обеспечения эффективности и бесперебойности платежных систем и повышения надежности платежных инструментов.
28. Настоящая Политика подлежит пересмотру по мере изменения законодательства Кыргызской Республики и появления новых эффективных методов управления рисками в платежных системах в соответствии с международной банковской практикой.
Приложение 1.
Процесс управления рисками, представляющий собой комплекс мероприятий, направленный на минимизацию последствий реализации рисков и получение возмещения при наступлении убытков, связанных с реализацией рисков
Этапы |
Содержание комплекса мероприятий по управлению рисками |
1. Безопасность |
|
Надежность работы |
Правила и процедуры платежных систем должны быть прописаны так, чтобы позволить Национальному банку Кыргызской Республики оценивать риски, которыми могут подвергаться участники платежной системы.
Правила и процедуры систем должны включать механизмы для управления рисками, в частности: - механизм контроля кредитного риска (для систем, которые предполагают задержку между вводом распоряжения в систему и окончательным расчетом, заимствования участников друг у друга); - управление ликвидностью для своевременных расчетов (механизмы управления очередностью платежей, предоставление ликвидности в пределах дня, механизмы для минимизации «заторов», рекомендации, предоставление обновляемой информации об остатках на счетах и проведенных или незавершенных расчетах и доставке ценных бумаг в реальном времени); - меры по сокращению риска хранения ценных бумаг.
Оператор системы должен гарантировать, что система обладает достаточной мощностью для обработки ожидаемых объектов транзакций, включая пиковые нагрузки в отдельные часы или дни, меры по сокращению мошеннических и хакерских рисков. Для этого оператор должен регулярно тестировать и контролировать фактическую мощность и результативность своей системы, планировать изменения объемов или характера работы, чтобы поддерживался требуемый уровень платежей. Оператор должен регулярно проводить стресс-тесты системы для проверки того, сможет ли система обработать максимальные объемы транзакций при экстремальных обстоятельствах. - Каждая система должна иметь доступные финансовые ресурсы, адекватные надлежащему выполнению функций системы. При оценке соответствия системы требованиям к безопасности орган надзора будет рассматривать финансовые ресурсы, которые доступны для оператора системы и расчетного учреждения в целях проведения ежедневных операций и развития системы, учитывая конкретное предназначение системы и ее план развития бизнеса. - Каждая система должна иметь план на случай нештатной ситуации для обеспечения своевременного возобновления своей обычной работы в случае происшествия. Такой план должен быть у всех участников платежной системы и включать: механизм резервного обеспечения для коммуникаций, компьютерных систем и персонала; требование к участникам принимать дополнительные договоренности на случай происшествий; проведение тестирования механизмов возобновления работы, а также регулярный анализ адекватности таких механизмов и внесение изменений в случае признания необходимости. - План на случай аварий должен быть распространен на соответствующие сферы, процессы и персонал, если признается необходимым делегирование функций в работе системы. Необходим предварительный анализ рисков соглашений об аутсоринге, при этом все выявленные риски должны быть учтены в плане реагирования на случай аварий и согласованы между участниками и закреплены документарно. - Оценка рисков должна включать помимо прочего также определение важности и критичности услуг, которые будут делегироваться, причины аутсорсинга (анализ выгод и издержек), а также последствия для характеристики рисков системы. При этом с оператора и участника платежной системы не снимается ответственность за операции и процессы даже при делегировании определенных функций. - Адекватный и обученный и компетентный персонал для обеспечения безопасной и надежной работы системы. |
Контроль доступа |
Участники платежной системы должны гарантировать безопасность систем путем контроля доступа к работе системы. Такой контроль должен быть достаточно жестким, а режим безопасности — анализироваться и проверяться регулярно |
Информационная целостность |
Надежность информации в системе считается ключевым компонентом безопасности. Правильная и полная обработка транзакций и конфиденциальность данных должны быть гарантированы приемлемыми мерами и эффективным контролем, включая: - адекватное резервирование всех данных (считается целесообразным резервирование в реальном времени в отношении всей информации или ключевой информации); - резервирование оборудования и системы связи. Особо важное оборудование и системы связи должны иметь резервирование, которое в любой момент может быть немедленно введено в действие без остановки работы. Резервные механизмы должны быть хорошо изучены операционным персоналом, быть эффективными, безопасными и не нарушать нормальную работу платежной системы; - механизм сохранения и предотвращения утечки информации третьим сторонам. В целях предотвращения незаконного использования платежных инструментов, а также незаконного проведения операций по платежам, должен применяться механизм проверки личности и правомочности лиц, производящих, обрабатывающих и получающих платежи, обеспечиваться конфиденциальность информации, а также ограничиваться доступ к центрам обработки и каналам связи, используемым для передачи информации по платежам. При этом особое внимание должно уделяться физической безопасности помещений и оборудования, а также защите данных как во время их хранения, так и в процессе передачи; - механизм минимизации ошибок ввода данных. В автоматизированных системах должен обеспечиваться контроль ввода данных, исключающий или снижающий возможность ошибки. Все оборудование и программное обеспечение автоматизированных систем должно пройти тщательное тестирование, опытную эксплуатацию и должно иметь документацию в соответствии с установленными стандартами. |
2. Эффективность |
|
Скорость и эффективность работы |
Оператор должен гарантировать участникам платежной системы, что система обрабатывает распоряжения о переводе с требуемой скоростью, включая время пиковых нагрузок, а также планировать изменения объемов или характеристик операций, чтобы поддерживать требуемую скорость работы; - помимо эффективной работы систем информационных технологий оператор или расчетный банк должны иметь и регулярно обновлять меры по управлению ликвидностью для предоставления адекватных механизмов для внутридневной ликвидности, эффективного управления очередностью платежей и механизмами уменьшения заторов. - и др. мероприятия по видам услуг. |
Стоимость участия |
Стоимость участия в системе состоит из трех компонентов: - комиссия и начисления за услуги системы могут определяться затратами на обработку в системе; - собственные затраты на внутреннюю обработку операций участниками являются внешними для системы, но могут зависеть от конструкции системы; - затраты для участников на поддержание ликвидности для финансирования платежей. Затраты участников на внутренний процессинг в системе могут включать издержки, связанные с подготовкой платежных инструкций, передачей и получением платежных сообщений и внутренней обработкой по желанию самих участников. Если оператор системы не может напрямую контролировать эти затраты, то он должен быть информирован о том, как система, ее технология и процедуры могут повлиять на эти издержки. Затраты участников на поддержание ликвидности или залога для финансирования платежей представляют непрямые расходы на участие в системе. Эта стоимость может зависеть от уровня внутридневной ликвидности, которую в нормальных условиях требуется поддерживать участнику при заданном механизме очередности или финансирования ликвидности в системе. |
Критерии участия в системе |
Участники платежной системы должны гарантировать, что не будет дискриминации в доступе участников к системам в виде необоснованных барьеров для вхождения, которые бы уменьшили использование системы. Это, в свою очередь, может привести к повышению средней стоимости обработки операций в расчете на транзакцию и потенциально увеличит часть каждого участника в расходах, что снизит эффективность платежной системы. Эти критерии членства в системе должны быть обоснованными, объективными и публично раскрытыми. Банку следует принять пруденциальные стандарты типа финансовой прочности для своих участников и агентов для обеспечения надежности платежной системы. |
Отсутствие мер, ограничивающих честную конкуренцию |
Любое ограничение должно быть объективным и основываться на приемлемом критерии риска. |
3. Надежность. |
|
Расчеты |
В системе должны быть четко определены обстоятельства, при которых распоряжения о переводе считаются в системе как проведенные по расчетам. Для этого правила и процедуры работы должны определить статус платежных инструкций в точке расчета, а также там, где уместно, определить (а) точку, в которой распоряжение о переводе вводится в систему; (б) точку, после которой распоряжение о переводе не может быть отозвано участником или какой-либо другой стороной; (в) как разрешается проблема непроведения расчета |