Зарегистрировано в Министерстве юстиции Кыргызской Республики
18 января 2006 года. Регистрационный номер 7-06
|
|
Утверждено постановлением Правления Национального банка Кыргызской Республики от 15 декабря 2005 года N 37/5 |
ПОЛОЖЕНИЕ
о минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики
(В редакции постановлений Правления Нацбанка КР от 16 ноября 2012 года N 43/1, 23 декабря 2015 года № 78/22, 15 июня 2017 года № 2017-П-12/25-7, 17 октября 2018 года № 2018-П-12/43-2, 27 декабря 2019 года № 2019-П-12/68-2, 17 января 2024 года № 2024-П-12/1-3)
I. Общие положения
1.1. Настоящее Положение устанавливает обязательные для соблюдения коммерческими банками (далее - банки) минимальные требования к организации управления операционным риском.
(В редакции постановления Правления Нацбанка КР от 17 января 2024 года № 2024-П-12/1-3)
1.2. Положение является дополнительным руководством для банков в отношении минимальных требований к политикам, процедурам и внутреннему контролю с целью соблюдения стандартов управления операционным риском, установленных Положением "О минимальных требованиях по управлению рисками в банках Кыргызской Республики".
Коммерческие банки, осуществляющие операции в соответствии с исламскими принципами банковского дела и финансирования, руководствуются настоящим Положением с целью соблюдения стандартов управления операционным риском, установленных Положением "О минимальных требованиях по управлению рисками в банках, осуществляющих операции в соответствии с исламскими принципами банковского дела и финансирования", утвержденным постановлением Правления Национального банка Кыргызской Республики (далее - Национальный банк) от 18 июля 2018 года № 2018-П-12/30-3-(БС).
(В редакции постановлений Правления Нацбанка КР от 16 ноября 2012 года N 43/1, 23 декабря 2015 года № 78/22, 27 декабря 2019 года № 2019-П-12/68-2, 17 января 2024 года № 2024-П-12/1-3)
1.3. В Положении используются термины в соответствии с Положением "О минимальных требованиях по управлению рисками в банках Кыргызской Республики".
II. Основные требования к организации управления операционным риском
2.1. В банке должна быть разработана и утверждена Советом директоров банка политика по управлению операционным риском, соответствующая масштабу, профилю риска, системной значимости и размеру капитала банка.
Политика по управлению операционным риском может быть представлена в виде отдельного документа либо может быть частью единой политики по управлению рисками и как минимум должна включать:
- цели и задачи управления операционным риском;
- основные принципы управления операционным риском;
- основные виды операционных рисков с учетом всех направлений деятельности банка и причины их возникновения;
- распределение полномочий и ответственности по всем уровням управления и мониторинга операционным риском;
- методы выявления, оценки, мониторинга, контроля и минимизации операционного риска;
- порядок предоставления отчетности и обмена информацией по управлению операционным риском.
(В редакции постановления Правления Нацбанка КР от 23 декабря 2015 года № 78/22)
2.2. Основные принципы управления операционным риском предполагают, что во внутренних документах банка должны найти отражение:
- порядок, правила и процедуры совершения банковских операций и других сделок;
- функционирование информационных и других систем;
- процедура, регламентирующая в случаях наступления форс-мажорных обстоятельств (таких как, стихийные бедствия (наводнения, землетрясения, бури, пожары и иные природные либо техногенные катастрофы), технические катастрофы, эпидемии, введение чрезвычайного положения, массовые беспорядки, мародерство, военные действия и т.п.) порядок перевода работы на резервный центр (при наличии), и взаимодействие персонала системы;
- организация внутренних процессов, разделение полномочий, функциональных обязанностей;
- порядок взаимодействия подразделений и сотрудников банка;
- порядок представления отчетности и обмена информацией;
- определение конфликта интересов и возможность их предотвратить в случае, если сделки касаются тех, кто принимает решения.
(В редакции постановления Правления Нацбанка КР от 15 июня 2017 года № 2017-П-12/25-7)
2.3. В целях ограничения операционного риска банк должен иметь следующие документы:
- по проведению всех типов операций, осуществляемых банком;
- по физической безопасности, включающие требования к помещениям, в которых располагаются филиалы, хранилища, сейфы, документы и архивы, а также меры физической защиты технологий;
- по приему, хранению и перевозке денежных средств и иных ценностей;
- по обеспечению технологиями, которые должны быть протестированы, документально оформлены до их введения и которые могут быть обновлены в случае необходимости;
- - по аутсорсингу. Под аутсорсингом понимается привлечение банком внешних поставщиков услуг для выполнения на непрерывной основе отдельных видов работ и услуг, которые в обычных условиях осуществлялись бы самим банком. Банк не может использовать аутсорсинг для проведения операций, связанных с кредитованием, привлечением депозитов либо другой банковской операции, для которой требуется лицензия;
- планы по обеспечению непрерывности бизнеса, включающие, наличие резервных помещений, внешние хранилища для резервных данных, процессы восстановления и планы на случай непредвиденных обстоятельств для реагирования на разрушение или непригодность ключевых систем.
(В редакции постановления Правления Нацбанка КР от 23 декабря 2015 года № 78/22)
2.4. Политика по управлению операционным риском должна пересматриваться периодически, не менее одного раза в год, а процедуры и другие внутренние документы банка по управлению операционным риском должны пересматриваться по мере необходимости, но не менее одного раза в два года с учетом достигнутого уровня управления операционным риском в банке и международного опыта, полностью интегрироваться в общий процесс управления рисками банка, а также своевременно доводиться до сведения всех сотрудников банка.
(В редакции постановления Правления Нацбанка КР от 23 декабря 2015 года № 78/22)
2.5. Совет директоров несет основную ответственность за управление операционным риском и определяет подходы, которые наиболее соответствуют деятельности банка, а также осуществляет контроль за эффективной реализацией Правлением банка политики и процедур по управлению операционным риском
(В редакции постановления Правления Нацбанка КР от 23 декабря 2015 года № 78/22)
2.6. Оценка управления операционным риском должна производиться как в целом по банку, так и в разрезе направлений его деятельности, внутренних процессов, информационно-технологических систем и банковских продуктов, составляющих эти направления деятельности. Минимально, оценка управления операционным риском должна включать систематический анализ подверженности каждому виду операционного риска по каждому направлению деятельности банка.
2.7. Для унификации подходов и сопоставимости данных банк может использовать следующую классификацию направлений деятельности:
- открытие счетов, расчетно-кассовое обслуживание физических и юридических лиц;
- проведение платежей;
- кредитование;
- управление активами, включая ценные бумаги;
- оказание агентских услуг;
- оказание брокерских услуг;
- оказание консультационных услуг;
- другие направления деятельности.
2.8. Совет директоров банка совместно с Правлением банка должен обеспечить создание организационной структуры с установлением прав и обязанностей по всем уровням управления и мониторинг операционного риска в соответствии с основными принципами управления операционным риском.
2.9. В целях управления операционными рисками, все банки должны обеспечить комплекс мер для восстановления и возобновления функционирования своих внутренних информационных систем согласно требованиям нормативных правовых актов Национального банка.
(В редакции постановления Правления Нацбанка КР от 15 июня 2017 года № 2017-П-12/25-7)
III. Основы управления операционным риском
3.1. Операционные убытки могут возникать вследствие событий и процессов, несущих в себе операционный риск, которые классифицируются по следующим типам:
(В редакции постановления Правления Нацбанка КР от 23 декабря 2015 года № 78/22)
3.1.1. Внутреннее мошенничество, то есть злоупотребления или неправомерные действия сотрудников банка (например, злоупотребление служебным положением, хищения, преднамеренное сокрытие фактов совершения операций, несанкционированное использование информационных систем и ресурсов, преднамеренное нарушение внутренних документов банка, неправомочное использование информации, полученное сотрудником в ходе выполнения служебных обязанностей с выгодой для себя).
Основной подход в управлении риском при возникновении данных событий заключается в наличии надежной системы внутреннего контроля, которая включает разделение обязанностей, организацию двойного контроля и четкое определение делегированных лимитов одобрения. Необходимо, чтобы соответствующая служба внутреннего аудита, осуществляющая проверку соблюдения установленных политик и процедур, поддержала данную систему внутреннего контроля.
3.1.2. Внешнее мошенничество, то есть неправомерные действия посторонних по отношению к банку лиц (например, ограбление, несанкционированное проникновение в информационные и другие системы банка, подлог и/или подделка платежных и других документов).
В дополнение к общей системе внутреннего контроля, банки должны разработать конкретные меры, обеспечивающие физическую безопасность и безопасности информационных технологий, согласно утвержденной политике. Основы управления операционным риском предписывают, что данные политики четко определяют каким образом можно снизить риски воровства и мошенничества с указанием возможных убытков из-за ограбления филиалов или воровства денежных средств, находящихся в пути, и неадекватности безопасности информационных технологий.
3.1.3. Практика приема на работу, нарушения банковского, трудового и иного законодательства, условий безопасности труда и охраны здоровья сотрудников.
Данные виды событий, несущие в себе операционный риск, определяются в большей степени внутренними нормативными актами банка о трудовых ресурсах с учетом возможности страхования в соответствии с законодательством.
3.1.4. Нарушение банком обязательств по договорам перед клиентами банка и третьими лицами, злоупотребление информацией о клиентах банка, некачественное осуществление операций или предоставление услуг, несоблюдение обычаев делового оборота, нарушение антимонопольного законодательства, несоблюдение требований по изучению клиентов.
Меры по обеспечению надлежащего обучения и надзора за сотрудниками, соблюдению положений о поведении на рынке и защите прав потребителей являются основными мерами снижения данных видов операционных рисков.
3.1.5. Причинение ущерба материальным активам банка (например, вследствие пожара, стихийных бедствий, актов терроризма, вандализма и т.д.).
Обеспечение физической безопасности, включая защиту помещений и иных активов, а также планирование непрерывности бизнеса, в том числе наличие средств резервного копирования в случае разрушения или отказа в доступе к ключевым помещениям представляют собой основные подходы в управлении данными рисками. Страхование остановки бизнеса может также играть роль в уменьшении финансовых затрат.
3.1.6. Сбои в функционировании или выход из строя информационных и других систем, оборудования, коммуникаций банка.
Планирование и обеспечение непрерывности бизнеса, что включает в себя процесс резервного копирования и восстановления, резервные механизмы реагирования на непригодность или на разрушение наиболее важной информации или технологии, являются основными средствами снижения данных операционных рисков. В дополнение, строгое тестирование новых или усовершенствованных систем, в том числе на способность восстанавливать информацию в случае сбоев в функционировании или выхода из строя, представляет собой необходимый компонент политики по управлению технологиями.
3.1.7. Ненадлежащая организация внутренних процессов и информационных потоков, в том числе порядка доступа к конфиденциальной информации, как например, к счетам клиентов, к информационным системам, ненадлежащее исполнение операций и установленных процедур, нарушение обязательств перед банком поставщиками работ или услуг, ошибки при вводе данных по операциям и сделкам, бухгалтерские ошибки, ошибки в расчетах, неправильное или неполное составление отчетности или правовой документации, утеря или уничтожение документов, недостатки и нарушения по управлению залогами и т.д.
Операционный риск в результате указанных факторов в значительной степени контролируется соответствующими системами внутреннего контроля. Если при проведении отдельных видов работ и услуг банк использует услуги подрядчиков, то у него должны быть соответствующие внутренние нормативные документы, предусматривающие обстоятельства, при которых можно использовать аутсорсинг, подбирать квалифицированных и надежных поставщиков услуг, устанавливать стандарты качества, в том числе стандарты соответствия, безопасности и своевременности, проводить мониторинг рисков, разрабатывать планы на случай непредвиденных обстоятельств для ключевых поставщиков услуг на случай срывов.
3.1.7-1. До использования аутсорсинга банку необходимо разработать процедуру принятия решений о привлечении поставщиков услуг, а также подготовить договоры аутсорсинга. Договор аутсорсинга является важным инструментом снижения рисков, связанных с его неисполнением или возникновением разногласий сторон. К ключевым положениям договора аутсорсинга должны быть отнесены следующие:
- четкое определение видов работ и услуг, передающихся на исполнение третьей стороне;
- возможность доступа банка к финансовой отчетности поставщика услуг, в том числе в случаях, когда финансовое состояние поставщика услуг может повлиять на исполнение им обязательств по договору аутсорсинга и иной информации, имеющей отношение к объекту аутсорсинга. При этом по запросу Национального банка и внешних аудиторов банк обязан предоставить указанную информацию, имеющую отношение к объекту аутсорсинга;
- непрерывное осуществление банком мониторинга и оценки деятельности поставщика услуг с целью своевременного принятия корректирующих мер;
- условия и минимальные сроки прекращения действия договора в случае возникновения необходимости, а также обязательства, остающиеся в силе, после прекращения действия договора;
- порядок урегулирования существенных вопросов, присущих только договору об аутсорсинге (например, если поставщик услуг находится за рубежом, положение о законодательстве стран сторон заключения договора, во избежание коллизии нормативных правовых актов);
- условия передачи на субдоговор всей или части аутсорсинговой деятельности в случае возникновения необходимости (для обеспечения возможности сохранения аналогичного режима управления рисками в случае изменения поставщика услуг);
- вопросы обеспечения поставщиком услуг конфиденциальности информации, касающейся банка, и защиты от намеренного или случайного ее раскрытия посторонним лицам.
Процедура принятия решений о привлечении поставщиков услуг должна включать в себя критерии, позволяющие осуществлять предварительную оценку возможности и способности поставщика услуг эффективно, надежно и на высоком уровне осуществлять аутсорсинговую деятельность, а также оценивать факторы возникающих рисков, связанных с привлечением определенного поставщика услуг.
При разработке критериев банку следует учитывать, что поставщик услуг должен:
- обладать необходимыми ресурсами и иметь работников соответствующей квалификации для выполнения работ и услуг, передаваемых банком на аутсорсинг;
- понимать цели и задачи банка в данной области деятельности и действовать в соответствии с ними;
- быть финансово состоятельным с тем, чтобы своевременно и в полном объеме выполнять свои обязательства.
(В редакции постановлений Правления Нацбанка КР от 23 декабря 2015 года № 78/22, 17 октября 2018 года № 2018-П-12/43-2)
3.2. Для выявления влияния внешних факторов на уровень операционного риска необходимо провести анализ следующих условий деятельности банка:
- анализ внешней финансовой среды, влияющей на деятельность банка;
- анализ подверженности операционному риску всех направлений деятельности банка, в том числе и освоение новых направлений деятельности;
- анализ отдельных операций банка;
- анализ внутренних политик и процедур, включая порядок составления отчетности и обмен информацией.
3.3. Для обеспечения эффективного выявления операционного риска банк должен вести учет всех событий, связанных с возникновением операционного риска. Информация о риск-событиях банка представляется банком в Национальный банк ежемесячно в составе Периодического регулятивного банковского отчета.
(В редакции постановления Правления Нацбанка КР от 27 декабря 2019 года № 2019-П-12/68-2)
3.4. Для выявления и оценки операционного риска банки могут самостоятельно разработать методы оценки операционного риска или использовать методы, применяемые в международной банковской практике, которые должны быть отражены во внутренних документах банка. При этом метод оценки операционного риска должен соответствовать характеру и масштабам деятельности банка.
3.5. В целях своевременного обнаружения и устранения недостатков управления операционным риском банк должен регулярно проводить мониторинг операционного риска. В процессе мониторинга банк может использовать систему показателей, сигнализирующих о вероятности наступления событий, в результате которых могут возникнуть операционные убытки (например, быстрый рост объема проводимых операций, количество несостоявшихся и незавершенных операций, текучесть кадров, количество и частота допускаемых ошибок, частота и продолжительность сбоев информационных и других систем банка и т.д.).
IV. Контроль за эффективностью управления операционным риском
4.1. Правление банка должно установить соответствие процессов определения, оценки, контроля и мониторинга операционных рисков потребностям банка, оценивать их последовательное использование в течение определенного времени.
4.2. Совет директоров банка должен систематически проводить оценку эффективности управления операционным риском.
4.3. На основе анализа внешних и внутренних факторов, влияющих на деятельность банка, необходимо периодически, но не менее одного раза в два года, пересматривать внутренние процессы и процедуры с целью выявления операционных рисков. Особое внимание необходимо уделить качеству средств контроля за документацией и практике осуществления операций.
(В редакции постановления Правления Нацбанка КР от 23 декабря 2015 года № 78/22)
4.4. Во внутренних документах банка необходимо установить порядок и периодичность рассмотрения фактов операционных убытков, выявления причин их возникновения, и порядок применения мер по их устранению.
4.5. Контроль за соблюдением политик и процедур по операционному риску осуществляется в рамках системы внутреннего контроля. Контроль за операционным риском предполагает, как минимум, контроль:
- за соблюдением установленных лимитов при осуществлении операций и предоставлении услуг;
- за соблюдением принципа разграничения полномочий, порядка утверждения и подотчетности по осуществляемым операциям и предоставляемым услугам;
- за соблюдением установленного порядка доступа к информации и материальным активам банка;
- за обучением и повышением квалификации персонала банка.
4.6. Совет директоров банка должен рассмотреть возможность страхования убытков по конкретным категориям операционных рисков в соответствии с законодательством.
4.7. Кроме того, должна производиться оценка достаточности имеющегося страхового возмещения и способности банка к самострахованию от потерь, связанных с событиями, несущими в себе операционный риск.
V. Раскрытие информации по управлению операционным риском
5.1. Банк должен в достаточной степени раскрывать информацию по обеспечению мер, снижающих операционный риск для вкладчиков и других клиентов, кредиторов, акционеров (участников) банка, внешних аудиторов, других организаций, учреждений и населения в составе годового отчета.
Примечание:
(*) Заключение договора на выполнение работ с внешними организациями.
|
|
Приложение N 1 |
Примерная форма учета событий, способствующих возникновению операционного риска
(Утратила силу
в соответствии с постановлением Правления Нацбанка КР
от 27 декабря 2019 года № 2019-П-12/68-2)