3.1. Оператор платежной системы в целях управления рисками в платежной системе должен разрабатывать методики анализа рисков в платежной системе, включая риск нарушения БФПС.
3.2. Методики анализа рисков в платежной системе должны обеспечивать:
выполнение процедур выявления оператором платежной системы рисков в платежной системе не реже одного раза в год;
проведение анализа рисков в платежной системе;
выявление событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий уровня риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации;
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе, а также уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4_3 пункта 2.2 настоящего Положения;
определение значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4_3 пункта 2.2 настоящего Положения;
определение для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4_3 пункта 2.2 настоящего Положения, уровня остаточного риска после применения способов управления рисками в платежной системе.
(Пункт в редакции, введенной в действие с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У. - См. предыдущую редакцию)
3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:
формирование и поддержание в актуальном состоянии перечней бизнес-процессов;
разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий;
проведение анализа бизнес-процессов в платежной системе, в том числе анализа программных и (или) технических средств операторов УПИ, учитывая факт привлечения ими поставщиков услуг, и других факторов, влияющих на БФПС;
формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий;
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе и установление уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4_3 пункта 2.2 настоящего Положения;
сопоставление уровня присущего риска до применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4_3 пункта 2.2 настоящего Положения, по каждому из выявленных рисков в платежной системе для определения значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4_3 пункта 2.2 настоящего Положения;
применение способов управления рисками в платежной системе для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4_3 пункта 2.2 настоящего Положения, и последующее определение для них уровня остаточного риска после применения способов управления рисками в платежной системе;
сопоставление уровня остаточного риска после применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4_3 пункта 2.2 настоящего Положения, для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4_3 пункта 2.2 настоящего Положения, и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;
мониторинг рисков в платежной системе, в том числе уровня остаточного риска после применения способов управления рисками в платежной системе, его соответствия уровню допустимого риска, указанного в абзаце третьем подпункта 2.2.4_3 пункта 2.2 настоящего Положения;
составление и пересмотр (актуализацию) профиля каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4_3 пункта 2.2 настоящего Положения, включая профиль риска нарушения БФПС.
(Пункт в редакции, введенной в действие с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У. - См. предыдущую редакцию)
3.4. Оператор платежной системы должен составлять профили рисков в соответствии с требованиями, предусмотренными в приложении 2 к настоящему Положению, и пересматривать (актуализировать) их по результатам плановой или внеплановой оценки всех рисков в платежной системе, а также внеплановой оценки отдельных рисков (отдельного риска) в платежной системе.
(Абзац в редакции, введенной в действие с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У. - См. предыдущую редакцию)
Абзац утратил силу с 1 октября 2023 года - указание Банка России от 9 января 2023 года N 6352-У. - См. предыдущую редакцию.
3.5. Оператор платежной системы должен хранить сведения, содержащиеся в профилях рисков, не менее пяти лет со дня составления и пересмотра (актуализации) профилей рисков.
(Пункт в редакции, введенной в действие с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У. - См. предыдущую редакцию)