ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ КАЗАХСТАН

от 26 февраля 2014 года №29

Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня

В целях совершенствования нормативных правовых актов Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня.

2. Признать утратившими силу нормативные правовые акты согласно приложению к настоящему постановлению.

3. Настоящее постановление вводится в действие с 1 января 2015 года и подлежит официальному опубликованию.

4. Банкам второго уровня в срок до 1 января 2015 года привести свою деятельность в соответствие с требованиями настоящего постановления.

Утверждены Постановлением Правления Национального Банка Республики Казахстан от 26 февраля 2014 года №29

Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня

Настоящие Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня (далее - Правила), разработаны в соответствии с Законом Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" и устанавливают порядок формирования системы управления рисками и внутреннего контроля банков второго уровня (далее - банк).

1. Общие положения

1. Целью Правил является определение требований к формированию у банка систем управления рисками, внутреннего контроля, обеспечивающих осуществление эффективного контроля со стороны совета директоров, правления банка за деятельностью банка и его финансовым состоянием, в том числе путем обеспечения:

надлежащей практики корпоративного управления и надлежащего уровня деловой этики и культуры;

соблюдения банком и его работниками требований законодательства и нормативных правовых актов уполномоченного органа;

соблюдения банком и его работниками требований политик и иных внутренних документов банка;

эффективного управления рисками банка посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия капитала банка уровню принимаемых им рисков;

своевременного обнаружения и устранения недостатков в деятельности банка и его работников;

создания в банке адекватных механизмов для решения непредвиденных или чрезвычайных ситуаций.

2. Банки ежеквартально, не позднее 30 числа месяца, следующего за отчетным кварталом, представляют в уполномоченный орган с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных, по форме в соответствии с приложением 1 к Правилам отчет о мониторинге событий операционного риска, повлекших убытки в размере 100 000 (ста тысяч) тенге и более.

3. В Правилах используются следующие понятия:

1) риск информационной безопасности - вероятность возникновения ущерба вследствие нарушения целостности, конфиденциальности и доступности информационных активов банка, возникшего вследствие преднамеренного деструктивного воздействия со стороны работников банка и (или) третьих лиц;

2) риск информационных технологий - вероятность возникновения ущерба вследствие неудовлетворительного построения процессов, связанных с разработкой и эксплуатацией банком информационных технологий;

3) необремененные активы - активы банка, в отношении которых не имеется правовых, регуляторных или технических препятствий (ограничений) для использования при необходимости в целях удовлетворения имеющихся потребностей банка в ликвидности;

4) ценовой риск - вероятность возникновения финансовых потерь вследствие неблагоприятных изменений в рыночной стоимости финансовых инструментов, товаров;

5) контрольные функции - функции, осуществляемые структурными подразделениями банка по проведению независимых проверок и оценки эффективности системы внутреннего контроля, систем управления рисками, информационной безопасности, достоверности бухгалтерского учета и отчетности и ряд других контрольных функций в соответствии с внутренними документами банка;

6) риск потери репутации - вероятность возникновения потерь, неполучения запланированных доходов в результате сужения клиентской базы, снижения иных показателей развития вследствие формирования в обществе негативного представления о финансовой надежности банка, качестве оказываемых услуг или характере деятельности банка в целом;

7) бэк-тестинг - метод проверки эффективности процедур измерения рисков с использованием исторических данных по операциям банка и сравнением расчетных результатов с фактическими результатами от совершения указанных операций;

8) валютный риск - вероятность возникновения финансовых потерь вследствие неблагоприятных изменений курсов иностранных валют при осуществлении банком своей деятельности;

9) ГЭП-анализ - метод, посредством которого банк измеряет процентный риск и риск ликвидности, основанный на сравнении объемов активов и обязательств банка, подверженных изменениям процентных ставок или подлежащих погашению в течение определенного срока;

10) юридический риск - вероятность возникновения потерь вследствие: несоблюдения банком требований законодательства Республики Казахстан, а в отношениях с нерезидентами Республики Казахстан - применимого законодательства других государств; несоблюдения банком условий заключенных договоров; допущения правовых ошибок при осуществлении деятельности (неправильные юридические консультации или неверное составление документов, в том числе при рассмотрении спорных вопросов в судебных органах); несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в процессе деятельности банка); нарушения контрагентами требований нормативных правовых актов, а также условий заключенных договоров;

11) комплаенс-риск - вероятность возникновения потерь вследствие несоблюдения банком и его работниками требований законодательства Республики Казахстан, нормативных правовых актов уполномоченного органа, внутренних документов банка, регламентирующих порядок оказания банком услуг и проведения операций на финансовом рынке, а также законодательства иностранных государств, оказывающего влияние на деятельность банка;

12) кредитный риск - это вероятность возникновения потерь, возникающая вследствие невыполнения заемщиком или контрагентом своих обязательств в соответствии с оговоренными условиями;

13) Комитет финансового мониторинга Министерства финансов Республики Казахстан - государственный орган, осуществляющий финансовый мониторинг и принимающий иные меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в соответствии с Законом Республики Казахстан от 28 августа 2009 года "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - КФМ);

14) конфликт интересов - ситуация, при которой возникает противоречие между личной заинтересованностью должностных лиц банка и (или) его работников и надлежащим исполнением ими своих должностных полномочий или имущественными и иными интересами банка и (или) его работников и (или) клиентов, которое может повлечь за собой неблагоприятные последствия для банка и (или) его клиентов;

15) рыночный риск - вероятность возникновения финансовых потерь по балансовым и внебалансовым статьям, обусловленная неблагоприятными изменениями рыночных процентных ставок, курсов иностранных валют, рыночной стоимости финансовых инструментов, товаров;

16) операционный риск - вероятность возникновения потерь в результате неадекватных или недостаточных внутренних процессов, человеческих ресурсов и систем или внешних событий, в том числе включая юридический риск (исключая стратегический и риск потери репутации) и:

риск, связанный с неопределенной, неадекватной организационной структурой банка, включая распределение ответственности, структуру подотчетности и управления;

риск, вызванный неадекватными стратегиями, политиками и (или) стандартами в области информационных технологий, недостатками использовании программного обеспечения;

риск, связанный с неадекватной информацией либо ее несоответствующим использованием;

риск, связанный с несоответствующим управлением персоналом и (или) неквалифицированным персоналом банка;

риск, связанный с неадекватным построением бизнес-процессов либо слабым контролем за соблюдением внутренних документов и правил;

риск, вызванный непредвиденными или неконтролируемыми факторами внешнего воздействия на операции банка;

риск, связанный с несоответствием внутренних документов банка, требованиям законодательства;

риск, связанный с действиями персонала банка, который может негативно отразиться на деятельности банка, мошенничество;

риск, вызванный предоставлением банковских услуг лицам с негативной деловой репутацией, а также проведением операций, в том числе платежей и переводов денег, которые могут негативно отразиться на деятельности банка, включая операции, связанные с величинами, создаваемыми и учитываемыми в децентрализованной информационной системе с применением средств криптографии и (или) компьютерных вычислений, не являющимися в соответствии с гражданским законодательством Республики Казахстан финансовыми инструментами или финансовыми активами, и не содержащими право требования к кому-либо;

17) риск ликвидности - вероятность возникновения потерь в результате неспособности банка выполнить свои обязательства в установленный срок без значительных убытков;

18) процентный риск - вероятность возникновения финансовых потерь вследствие неблагоприятного изменения рыночных процентных ставок по активам, пассивам и внебалансовым инструментам;

19) сравнительный анализ - сопоставление результатов применения различных инструментов оценки рисков, что позволяет оценить их эффективность и получить банку более полное представление об уровне его подверженности риску;

20) политика - совокупность внутренних документов, включающих в себя политику и (или) иные внутренние документы, определяющие необходимые критерии, параметры, подходы, принципы, стандарты, процедуры и механизмы, обеспечивающие эффективное функционирование банка и соответствие его деятельности стратегии и допустимому уровню риска;

21) стратегический риск - риск возникновения потерь, неполучения запланированных доходов в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегию деятельности и развития банка (стратегическое управление) и выражающихся в неучете или недостаточном учете возможных опасностей, которые могут угрожать деятельности банка, неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых банк может достичь преимущества перед конкурентами, отсутствии или обеспечении в неполном объеме необходимых ресурсов (финансовых, материально-технических, людских) и организационных мер (управленческих решений), которые должны обеспечить достижение целей деятельности банка;

22) стресс-тестирование - метод оценки потенциального влияния исключительных, но возможных событий на финансовое состояние банка;

23) сценарный анализ - процесс, осуществляемый структурными подразделениями совместно с подразделением по управлению риском, позволяющий выявлять потенциальные события риска и оценивать их потенциальное влияние на деятельность банка в случае их наступления;

24) риск - вероятность того, что ожидаемые или непредвиденные события могут оказать негативное влияние на банк, его капитал или доходы;

25) самооценка рисков - инструмент, посредством которого банк выявляет и оценивает риски, присущие процессам банка, оценивает эффективность контроля за выявленными рисками и определяет уровень остаточного риска;

26) карта рисков - описание видов и уровня рисков, присущих различным бизнес-процессам и (или) структурным подразделениям банка для выявления слабых сторон и ранжирования по приоритетности последующих действий по управлению рисками;

27) допустимый уровень риска - уровень (величина) риска, который банк определяет для себя как допустимый (приемлемый, безопасный) для обеспечения своей финансовой надежности и долгосрочного функционирования исходя из стратегии, характера, масштабов и сложности видов деятельности, а также финансового положения;

28) ключевые индикаторы риска - количественные показатели, характеризующие степень подверженности банка риску, и на основе которых выявляется степень приближения банка к критическому уровню риска и принимаются меры по минимизации риска;

29) риск-профиль - совокупность показателей риска и иных сведений, характеризующих степень подверженности банка различным видам рисков;

30) уполномоченный коллегиальный орган (далее - УКО) - комитет при совете директоров, правление, комитет при правлении, группа уполномоченных лиц банка, ответственных за содействие выполнению обязанностей совета директоров банка в соответствии с требованиями Правил, осуществляющих свою деятельность на основании положения или иного внутреннего документа банка, утвержденного советом директоров банка;

31) уполномоченный орган - Национальный Банк Республики Казахстан;

32) организационная структура - внутренний документ и (или) совокупность внутренних документов, устанавливающих количественный состав и систему органов управления, руководящих работников и структурных подразделений банка, схематически отражающий структуру подчиненности, подотчетности и порядок их взаимодействия между собой.

2. Организация системы управления рисками и внутреннего контроля

4. Совет директоров банка в целях эффективного выполнения возложенных обязанностей осуществляет мониторинг и контроль за вопросами управления рисками, аудита, соблюдения требований законодательства Республики Казахстан и внутренних документов банка посредством УКО.

5. Совет директоров банка для целей реализации требований Правил и в зависимости от размера, характера и уровня сложности деятельности, организационной структуры, профиля рисков и количества членов совета директоров банка принимает решение о создании одного и (или) нескольких УКО по различным вопросам, которые могут отличаться по количественному составу.

6. Совет директоров банка исключает конфликт интересов при создании УКО.

7. Система управления рисками представляет собой систему организации, политик, процедур и методов, принятых банком с целью своевременного выявления, измерения, контроля и мониторинга рисков банка для обеспечения его финансовой устойчивости и стабильного функционирования.

8. Система внутреннего контроля представляет собой систему организации, политики, процедур и методов, принятых банком для:

обеспечения эффективности деятельности банка, включая эффективность управления банковскими рисками, активами и пассивами, обеспечение сохранности активов;

обеспечения полноты, достоверности и своевременности финансовой, регуляторной и другой отчетности для внутренних и внешних пользователей, а также информационной безопасности;

обеспечения выполнения банком законодательных и регуляторных требований, внутренних документов банка;

недопущения вовлечения банка и его работников в осуществление противоправной деятельности, в том числе мошенничества, ошибок, неточностей, обмана, легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, в осуществление операций на территории Республики Казахстан, связанных с величинами, создаваемыми и учитываемыми в децентрализованной информационной системе с применением средств криптографии и (или) компьютерных вычислений, не являющимися в соответствии с гражданским законодательством Республики Казахстан финансовыми инструментами или финансовыми активами, и не содержащими право требования к кому-либо.

9. Система внутреннего аудита представляет собой систему организации, политики, процедур и методов, принятых банком для проверки и объективной оценки эффективности функционирования систем внутреннего контроля и управления рисками по всем аспектам деятельности банка в целях обеспечения эффективной деятельности банка и предоставления действенных рекомендаций по ее улучшению.

10. Организация систем управления рисками, внутреннего контроля обеспечивается соответствием деятельности банка, его органов управления и работников минимальным требованиям, указанным в приложении 2 к Правилам.

11. При наличии в деятельности банка других видов риска, совет директоров банка утверждает политики по управлению данными видами рисков, правление банка обеспечивает внедрение политик путем разработки соответствующих процедур и процессов по отношению к ним. Минимальные требования, такие как выявление, измерение, мониторинг и контроль рисков распространяются и на другие виды рисков.

Приложение 1

к Правилам формирования системы управления рисками и внутреннего контроля для банков второго уровня

Форма, предназначенная для сбора административных данных

Отчет о мониторинге событий операционного риска, повлекших убытки в размере 100 000 (ста тысяч) тенге и более

__________________________________

на "___" _________________ 20__года

____________________________________________________________________

Отчетный период: по состоянию на __________________ 20 ___ года

Индекс: 1-RISK

Периодичность: ежеквартальная

Представляют: банки второго уровня

Куда представляется форма: Национальный Банк Республики Казахстан (далее - Национальный Банк)

Срок представления: не позднее 30 числа месяца, следующего за отчетным кварталом

Форма

№ п/п	Описание события операционного риска, при котором были понесены убытки (причины убытков)	Форма и размер последствий от реализации событий операционного риска (в тенге)
		наложенные и взысканные штрафы по основаниям, установленным законодательными актами Республики Казахстан	судебные издержки, взыскания по решению суда	внесудебные компенсации работникам банка	внесудебные компенсации клиентам банка	досрочное списание материальных активов банка	затраты на устранение последствий реализации операционного риска	прочие убытки, не покрытые резервами	снижение стоимости активов банка	иные (указать какие)
1	2	3	4	5	6	7	8	9	10	11
1
2
3
4
5
…

 ___________________________________ _________ ________

(фамилия, имя, при наличии - отчество) (подпись) (дата)

Примечание: пояснение по заполнению формы, предназначенной для сбора административных данных, приведено в приложении к настоящей форме

Приложение

к Форме отчета о мониторинге событий операционного риска, повлекших убытки в размере 100 000 (ста тысяч) тенге и более

Пояснение по заполнению формы, предназначенной для сбора административных данных

Отчет о мониторинге событий операционного риска, повлекших убытки в размере 100 000 (ста тысяч) тенге и более

Глава 1. Общие положения

1. Настоящее пояснение определяет требования по заполнению формы, предназначенной для сбора административных данных "Отчет о мониторинге событий операционного риска, повлекших убытки в размере 100 000 (ста тысяч) тенге и более" (далее - Форма).

2. Форма разработана в соответствии с Правилами формирования системы управления рисками и внутреннего контроля для банков второго уровня, утвержденными постановлением Правления Национального Банка Республики Казахстан от 26 февраля 2014 года №29, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под №9322.

3. Форма составляется ежеквартально банком.

4. Форму подписывает руководитель подразделения по управлению операционным риском банка.

Глава 2. Заполнение Формы

5. В графе 2 указывается описание события операционного риска, при котором были понесены убытки (причины убытков).

6. В графе 3 указываются наложенные и взысканные штрафы по основаниям, установленным законодательными актами Республики Казахстан.

7. В графе 4 указываются судебные издержки, взыскания по решению суда.

8. В графе 5 указываются внесудебные компенсации работникам банка.

9. В графе 6 указываются внесудебные компенсации клиентам банка.

10. В графе 7 указывается досрочное списание материальных активов банка.

11. В графе 8 указываются затраты на устранение последствий реализации операционного риска.

12. В графе 9 указываются прочие убытки, не покрытые резервами.

13. В графе 10 указывается снижение стоимости активов банка.

14. В графе 11 указываются иные сведения.

Приложение 2

к Правилам формирования системы управления рисками и внутреннего контроля для банков второго уровня

Минимальные требования к организации систем управления рисками, внутреннего контроля

№ п/п		Требование		Состав лиц, ответственных и участвующих в реализации требования	Процедуры реализации требования			Форма реализации требования		Сроки реализации требования
1		2		3	4			5		6
1. Совет директоров
1.1		Совет директоров банка в целях организации и осуществления контроля за деятельностью банка, создания и функционирования в банке эффективных систем управления рисками, внутреннего контроля и внутреннего аудита утверждает внутренний документ, определяющий компетенцию органов и должностных лиц банка по утверждению внутренних документов банка. Исключительной компетенцией совета директоров банка по утверждению внутренних документов банка является: утверждение организационной структуры банка; утверждение стратегии банка, в том числе допустимого уровня риска банка; утверждение политик банка; утверждение сценариев стресс-тестирования; утверждение Плана финансирования на случай непредвиденных ситуаций; утверждение плана (планов) по обеспечению непрерывности деятельности; утверждение внутреннего документа, определяющего порядок выплаты вознаграждений руководящим работникам банка и работникам банка, непосредственно подотчетным совету директоров банка.		Совет директоров банка, УКО	Совет директоров банка определяет УКО ответственным за разработку внутреннего документа, определяющего компетенцию органов и должностных лиц банка по утверждению внутренних документов банка в соответствии с требованиями законодательства Республики Казахстан. По результатам рассмотрения проекта внутреннего документа оформляется Протокол/Решение совета директоров банка.			Внутренний документ/ Протокол/ Решение совета директоров банка		-
1.2		Совет директоров банка обеспечивает наличие и соответствие устава банка требованиям законодательства Республики Казахстан, а также поддержание устава в актуальном состоянии.		Совет директоров банка, УКО	1) совет директоров банка определяет УКО ответственным за мониторинг и контроль на предмет соответствия устава банка действующему законодательству Республики Казахстан;			Внутренний документ/ Протокол/ Решение совета директоров банка		-
					2) совет директоров банка, по итогам мониторинга на соответствие устава банка действующему законодательству Республики Казахстан, заслушивает отчет УКО и, при необходимости, поручает УКО подготовить проект изменений и дополнений в устав банка.			Протокол/ Решение совета директоров банка		-
1.3		Совет директоров банка обеспечивает соответствие организационной структуры размеру, структуре, характеру и уровню сложности деятельности банка.		Совет директоров банка, УКО	1) совет директоров банка определяет УКО ответственным за разработку проекта организационной структуры и мониторинг соответствия организационной структуры текущей рыночной и экономической ситуации, профилю рисков и финансовому потенциалу банка, и Правилам;			Внутренний документ/ Протокол/ Решение совета директоров банка		-
					2) по результатам рассмотрения проекта организационной структуры оформляется Протокол/Решение совета директоров банка;			Протокол/ Решение совета директоров банка		-
					3) совет директоров банка по итогам мониторинга заслушивает отчет УКО и при необходимости поручает УКО подготовить проект изменений и дополнений в организационную структуру.			Протокол/ Решение совета директоров банка		не реже 1 раза в год
1.4		Совет директоров банка утверждает стратегию банка.		Совет директоров банка, УКО	1) совет директоров банка определяет УКО, ответственным за разработку и представление на утверждение проекта стратегии банка;			Внутренний документ/ Протокол/ Решение совета директоров банка		-
					2) по результатам рассмотрения проекта стратегии оформляется Протокол/Решение совета директоров банка.			Протокол/ Решение совета директоров банка		не позднее 1 октября года, предшествующего периоду, на который разрабатывается стратегия
1.5		Совет директоров банка в рамках утверждения стратегии устанавливает и утверждает допустимые уровни рисков.		Совет директоров банка, УКО	1) совет директоров банка определяет УКО ответственным за разработку и представление на утверждение проекта методики определения и расчета допустимых уровней рисков банка;			Внутренний документ/ Протокол/ Решение совета директоров банка		-
					2) по результатам рассмотрения проекта методики определения и расчета допустимых уровней рисков оформляется Протокол/Решение совета директоров банка;			Протокол/ Решение совета директоров банка		не позднее 1 октября года, предшествующего периоду, на который разрабатывается стратегия
					3) совет директоров банка получает отчет о результатах расчетов допустимых уровней рисков и их сравнения с текущим уровнем рисков банка. По итогам рассмотрения отчета оформляется Протокол/ Решение совета директоров банка.			Протокол/ Решение совета директоров банка		не позднее 1 октября года, предшествующего периоду, на который разрабатывается стратегия
1.6		Совет директоров банка осуществляет мониторинг исполнения стратегии и оценку соответствия стратегии банка текущей рыночной и экономической ситуации, профилю рисков и финансовому потенциалу, а также законодательству Республики Казахстан.		Совет директоров банка, УКО	1) совет директоров банка определяет УКО ответственным за мониторинг исполнения стратегии банка и оценку соответствия стратегии банка текущей рыночной и экономической ситуации, профилю рисков и финансовому потенциалу, а также законодательству Республики Казахстан;			Внутренний документ/ Протокол/ Решение совета директоров банка		-
					2) по результатам мониторинга и оценки заслушивает отчет УКО, при выявлении несоответствий поручает УКО подготовить проект соответствующих изменений и дополнений в стратегию банка.			Протокол/ Решение совета директоров банка		не реже 1 раза в полугодие
1.7		Совет директоров банка утверждает бюджет банка на соответствующий год и осуществляет контроль за его исполнением.		Совет директоров банка, УКО	1) совет директоров банка определяет УКО ответственным за: разработку и представление на утверждение проект бюджета на соответствующий год; подготовку отчетов об исполнении бюджета, содержащий пояснения, при наличии, о расхождениях между плановыми и фактическими показателями;			Внутренний документ/ Протокол/ Решение совета директоров банка		-
					2) по результатам рассмотрения проекта бюджета оформляется Протокол/Решение совета директоров банка, содержащий решение об утверждении бюджета банка;			Протокол/ Решение совета директоров банка		не позднее 31 декабря года, предшествующего году, на который разрабатывается бюджет
					3) по итогам рассмотрения отчета оформляется Протокол/Решение совета директоров банка.			Протокол/ Решение совета директоров банка		не реже 1 раза в квартал