Недействующая редакция. Принята: 12.11.2019 / Вступила в силу: 08.12.2019

Недействующая редакция, не действует с 22 июня 2020 года

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ КАЗАХСТАН

от 12 ноября 2019 года №188

Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня

В соответствии с Законом Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня.

2. Признать утратившими силу нормативные правовые акты Республики Казахстан, а также структурные элементы некоторых нормативных правовых актов Республики Казахстан по перечню согласно приложению к настоящему постановлению.

3. Департаменту методологии и регулирования финансовых организаций в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном

интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктом 2) настоящего пункта и пунктом 4 настоящего постановления.

4. Департаменту внешних коммуникаций - пресс-службе Национального Банка Республики Казахстан обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

7. Банкам второго уровня в срок до 1 июля 2020 года привести свою деятельность в соответствие с требованиями настоящего постановления.

Председатель Национального Банка

Е.Досаев

Утверждены Постановлением Правления Национального Банка Республики Казахстан от 12 ноября 2019 года №188

Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня

Глава 1. Общие положения

1. Настоящие Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня (далее - Правила), разработаны в соответствии с Законом Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" (далее - Закон о банках) и устанавливают порядок формирования системы управления рисками и внутреннего контроля банков второго уровня (далее - банк).

2. В Правилах используются следующие понятия:

1) риск информационных технологий - вероятность возникновения ущерба вследствие отказа (нарушения функционирования) информационно-коммуникационных технологий, эксплуатируемых банком;

2) риск информационной безопасности - вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка;

3) уполномоченный коллегиальный орган банка - совет директоров, комитет при совете директоров, правление, комитет при правлении;

4) репутационный риск - вероятность возникновения потерь, неполучения запланированных доходов в результате сужения клиентской базы, снижения иных показателей развития вследствие формирования в обществе отрицательного представления о надежности банка, качестве оказываемых им услуг или характере деятельности банка в целом;

5) юридический риск - вероятность возникновения потерь вследствие несоблюдения банком либо контрагентом требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, а в отношениях с нерезидентами Республики Казахстан - законодательства страны его происхождения, а также условий заключенных договоров;

6) внутренний процесс оценки достаточности капитала- набор процессов управления существенными рисками, с учетом объема активов, характера и уровня сложности деятельности, организационной структуры, стратегических планов, риск-профиля банка, нормативной правовой базы, оценка и агрегирование таких рисков с целью определения целевого уровня достаточности капитала банка для поддержания стабильного финансового положения и платежеспособности;

7) беззалоговый потребительский займ - банковский займ без условия о залоге на момент выдачи, предоставленный физическому лицу на цели, не связанные с осуществлением предпринимательской деятельности;

8) комплаенс-риск - вероятность возникновения потерь вследствие несоблюдения банком и его работниками требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних документов банка, регламентирующих порядок оказания банком услуг и проведения операций на финансовом рынке, а также законодательства иностранных государств, оказывающего влияние на деятельность банка;

9) корпоративное управление - система взаимоотношений между правлением банка, советом директоров, акционерами, руководящими работниками и аудиторами, а также взаимоотношения между уполномоченными коллегиальными органами банка.

Система корпоративного управления позволяет организовать распределение полномочий и ответственности, а также построить процесс принятия корпоративных решений;

10) кредитный риск - вероятность возникновения потерь, возникающая вследствие невыполнения заемщиком или контрагентом своих обязательств в соответствии с условиями договора банковского займа;

11) кредитоспособность - комплексная правовая и финансовая характеристика заемщика, представленная финансовыми и нефинансовыми показателями, позволяющая оценить его возможность в будущем полностью и в срок исполнить обязательства по договору банковского займа;

12) кредитный договор - соглашение между банком и заемщиком о предоставлении финансирования (включая условное финансирование), в результате которого у банка возникают (либо возникнут в будущем) требования к заемщику;

13) план финансирования на случай непредвиденных обстоятельств - совокупность процедур и плана действий для реагирования на снижение способности банка своевременно отвечать по своим обязательствам;

14) подразделение-владелец защищаемой информации - подразделение банка, владелец информации, нарушение конфиденциальности, целостности или доступности которой приведет к убыткам для банка;

15) критичный информационный актив - информационный актив, определяемый в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года №48 "Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под №16772;

16) существенный риск - риск, реализация которого приведет к ухудшению финансовой устойчивости банка;

17) конфликт интересов - ситуация, при которой возникает противоречие между личной заинтересованностью должностных лиц банка, его акционеров и (или) его работников и надлежащим исполнением ими своих должностных полномочий или имущественными и иными интересами банка и (или) его работников и (или) клиентов, которое повлечет за собой неблагоприятные последствия для банка и (или) его клиентов;

18) рыночный риск - вероятность возникновения финансовых потерь по балансовым и внебалансовым статьям, обусловленная неблагоприятными изменениями рыночной ситуации, выражающаяся в изменениях рыночных процентных ставок, курсов иностранных валют, рыночной стоимости финансовых инструментов, товаров;

19) операционный риск - вероятность возникновения потерь в результате неадекватных и недостаточных внутренних процессов, человеческих ресурсов и систем, или влияния внешних событий, за исключением стратегического риска и репутационного риска;

20) внутренний процесс оценки достаточности ликвидности - набор процессов управления риском ликвидности, в целях поддержания банком надлежащего уровня ликвидности и внедрения надлежащей системы управления риском ликвидности в различные временные интервалы в зависимости от видов деятельности, валюты;

21) риск ликвидности - вероятность возникновения финансовых потерь в результате неспособности банка выполнить свои обязательства в установленный срок без значительных убытков;

22) политика - утвержденный советом директоров банка внутренний документ, определяющий основные количественные и качественные параметры, принципы, стандарты, обеспечивающие эффективное функционирование банка и соответствие его деятельности стратегии, риск-профилю, риск-аппетиту. В рамках политики совет директоров банка обеспечивает наличие соответствующих внутренних документов, описывающие отдельные процедуры, процессы, инструкции;

23) стратегический риск - вероятность возникновения убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегическое развитие банка и выражающихся в недостаточном учете возможных опасностей, присущих деятельности банка, неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых банк достигнет преимущества перед конкурентами, отсутствии или обеспечении в неполном объеме необходимых ресурсов и организационных мер, обеспечивающих достижение стратегических целей деятельности банка;

24) стресс-тестирование - метод оценки потенциального влияния исключительных, но возможных событий на финансовое состояние банка;

25) риск - вероятность того, что ожидаемые или непредвиденные события окажут отрицательное влияние на финансовую устойчивость банка, его капитал и (или) доходы;

26) риск-культура - процессы, процедуры, внутренние правила банка, направленные на понимание, принятие, управление и контроль за рисками с целью минимизации их влияния на финансовое состояние банка, а также этические нормы и стандарты профессиональной деятельности всех участников организационной структуры. Риск-культура дополняет существующие утвержденные процедуры, процессы и механизмы деятельности банка и является неотъемлемым компонентом системы управления рисками;

27) риск-профиль - совокупность видов риска и иных сведений, характеризующих степень подверженности банка рискам, присущим всем видам деятельности банка для выявления слабых сторон и определения приоритетности последующих действий в рамках системы управления рисками;

28) заявление риск-аппетита - утверждаемый советом директоров банка документ, описывающий агрегированный (агрегированные) уровень (уровни) существенных рисков (лимиты допустимого размера риска), который (которые) банк готов принять либо намерен исключить при реализации стратегии. Заявление риск-аппетита содержит заявление качественного характера, а также количественного характера, включая показатели в отношении доходности, капитала, ликвидности, рисков, иных применимых показателей;

29) обработка риска - процесс выбора и реализации мер по изменению рисков;

30) реестр рисков - структурированный перечень рисков, содержащий критерии и причины возникновения рисков, вероятность их возникновения, воздействие (ущерб), приоритет и способы обработки риска;

31) уполномоченный орган - государственный орган, осуществляющий государственное регулирование, контроль и надзор финансового рынка и финансовых организаций;

32) организационная структура - внутренний документ и (или) совокупность внутренних документов, устанавливающих количественный состав и систему органов управления, руководящих работников и структурных подразделений банка, отражающий структуру подчиненности, подотчетности.

3. Целью Правил является определение требований к формированию банком систем управления рисками и внутреннего контроля путем обеспечения:

1) эффективного управления рисками банка посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия собственного капитала банка уровню принимаемых им рисков и наличия соответствующего уровня ликвидности;

2) надлежащей практики корпоративного управления и надлежащего уровня деловой этики и риск-культуры;

3) соблюдения банком и его работниками требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних политик, процедур и иных внутренних документов банка;

4) своевременного обнаружения и устранения недостатков в деятельности банка и его работников;

5) создания в банке адекватных механизмов для решения непредвиденных или чрезвычайных ситуаций.

4. Совет директоров банка обеспечивает наличие системы управления рисками, соответствующей выбранной бизнес модели, масштабу деятельности, видам и сложности операций и обеспечивает надлежащий процесс выявления, измерения и оценки, мониторинга, контроля и процедур минимизации существенных рисков банка с целью определения банком величины собственного капитала и ликвидности, необходимых для покрытия существенных рисков, присущих деятельности банка.

Система управления рисками представляет собой совокупность компонентов, установленных Правилами, которая обеспечивает механизм взаимодействия разработанных и регламентированных банком внутренних процедур, процессов, политик, структурных подразделений банка с целью своевременного выявления, измерения, контроля и мониторинга рисков банка, а также их минимизации для обеспечения его финансовой устойчивости и стабильного функционирования.

5. Система управления рисками обеспечивает:

1) оптимальное соотношение между доходностью основных направлений деятельности банка и уровнем принимаемых рисков, основанное на выборе жизнеспособной и устойчивой бизнес модели, эффективном процессе планирования стратегии и бюджета с учетом стратегии риск-аппетита;

2) объективную оценку размера рисков банка, полноту и документирование процессов управления рисками, их превентивного выявления, измерения и оценки, мониторинга и контроля, минимизацию существенных видов рисков на каждом уровне организационной структуры с оптимальным использованием финансовых ресурсов, персонала и информационных систем в целях поддержания достаточного объема собственного капитала банка и ликвидности;

3) охват всех видов деятельности банка, подверженных существенным рискам, на всех уровнях организационной структуры, полноту оценки отдельных существенных видов рисков, их взаимного влияния в целях определения риск-профиля банка и построения стратегии риск-аппетита;

4) наличие уровней риск-аппетита по всем видам существенных рисков и алгоритм действий в случаях нарушения установленных уровней, включая ответственность за принятие рисков, уровень которых определен как высокий, процедуры по информированию совета директоров, комитетов при совете директоров и правления банка в рамках стратегии риск-аппетита;

5) осведомленность уполномоченных коллегиальных органов банка, принимающих решения, несущие за собой риски, посредством построения эффективной системы корпоративного управления, наличия полной, достоверной и своевременной управленческой информации о существенных рисках, присущих деятельности банка;

6) рациональное принятие решений и действие в интересах банка на основании всесторонней оценки предоставляемой информации добросовестно, с должной осмотрительностью и заботливостью (duty of care). Обязанность проявлять осмотрительность и заботливость не распространяется на ошибки в процессе принятия бизнес-решений, если только работники и должностные лица банка не проявили при этом грубую небрежность;

7) принятие решений работниками и должностными лицами банка и действие добросовестно в интересах банка, не учитывая личные выгоды, интересы лиц, связанных с банком особыми отношениями, в ущерб интересов банка (duty of loyalty);

8) четкое распределение функций, обязанностей и полномочий управления рисками между всеми структурными подразделениями и работниками банка, и их ответственности с учетом минимизации конфликта интересов;

9) разделение функции управления рисками и внутреннего контроля от операционной деятельности банка посредством построения системы трех линий защиты, которая включает:

первую линию - на уровне структурных подразделений банка;

вторую линию - на уровне подразделений по управлению рисками и выполняющих контрольные функции;

третью линию - на уровне подразделения внутреннего аудита в части оценки эффективности функционирования системы управления рисками;

10) наличие документов, разработанных в целях регламентирования деятельности банка, создания и функционирования в банке эффективных систем управления рисками и внутреннего контроля и соответствующих стратегии, организационной структуре, профилю рисков банка и требованиям гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, а также их периодический пересмотр и актуализацию;

11) соблюдение требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах;

12) соблюдение действующих процедур, процессов, политик и иных внутренних документов банка по управлению рисками посредством построения эффективной системы внутреннего контроля.

6. Уполномоченный орган в рамках оценки эффективности системы управления рисками банка руководствуется следующими принципами:

1) обеспечение финансовой стабильности банков, недопущения ухудшения финансового положения банков и увеличения рисков, связанных с деятельностью банков, защита законных интересов депозиторов, кредиторов, клиентов и корреспондентов банков;

2) преобладание сущности над формой, выражающееся в оценке системы управления рисками банка как механизма измерения и оценки, мониторинга, контроля, и минимизации существенных рисков банка, а не формально регламентированных процедур банка и соблюдения требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном  контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних документов банка;

3) пропорциональность при осуществлении функций по контролю и надзору, а также при применении по результатам контроля и надзора, мер предусмотренных законами Республики Казахстан, исходя из принятой банком бизнес модели, масштаба деятельности, видов и сложности операций и существенности рисков банка;

4) применение единообразного подхода к оценке системы управления рисками и мерам надзорного реагирования;

5) выявление существенных рисков в деятельности банка.

7. Уполномоченный орган осуществляет оценку:

1) эффективности системы корпоративного управления;

2) существенных рисков, присущих деятельности банка, с учетом видов и сложности операций банка;

3) соответствия систем управления рисками выбранной бизнес модели, масштабу деятельности, видам и сложности операций банка;

4) финансового состояния крупных участников банка в целях определения возможности поддержания финансовой устойчивости банка;

5) влияния финансового состояния участников банковского конгломерата на финансовую устойчивость банка;

платный документ

Текст редакции доступен после регистрации и оплаты доступа.

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ КАЗАХСТАН Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня Глава 1. Общие положения Глава 2. Бизнес модель Глава 3. Стратегия риск-аппетита Глава 4. Корпоративное управление Глава 5. Внутренний процесс оценки достаточности капитала Глава 6. Внутренний процесс оценки достаточности ликвидности Глава 7. Управление непрерывностью деятельности Глава 8. Управление рисками информационных технологий Глава 9. Управление рисками информационной безопасности Глава 10. Управление комплаенс-риском Глава 11. Внутренний контроль Глава 12. Внутренний аудит Глава 13. Аутсорсинг Перечень нормативных правовых актов Республики Казахстан, а также структурных элементов некоторых нормативных правовых актов Республики Казахстан, признаваемых утратившими силу