Вернуться назад

Зарегистрировано в Министерстве юстиции Кыргызской Республики 

18 января 2006 года. Регистрационный номер 7-06 

  

  

  

Утверждено  

постановлением Правления  

Национального банка  

Кыргызской Республики  

от 15 декабря 2005 года N 37/5 

 

 

ПОЛОЖЕНИЕ  

о минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики 

(В редакции постановлений Правления Нацбанка КР от 16 ноября 2012 года № 43/1, 23 декабря 2015 года № 78/22, 15 июня 2017 года №2017-П-12/25-7-(НПА), 17 октября 2018 года №2018-П-12/43-2-(НПА), 27 декабря 2019 года №2019-П-12/68-2-(НПА)) последнее вступает в силу с 01.04.2020 года) 

 

I. Общие положения 

 

 

1.1. Настоящее Положение устанавливает обязательные для соблюдения коммерческими банками и Государственным банком развития Кыргызской Республики (далее - банки) минимальные требования к организации управления операционным риском. 

1.2. Положение является дополнительным руководством для коммерческих банков, Государственного банка развития Кыргызской Республики (далее - банки) в отношении минимальных требований к политикам, процедурам и внутреннему контролю с целью соблюдения стандартов управления операционным риском, установленных Положением «О минимальных требованиях по управлению рисками в банках Кыргызской Республики». 

Коммерческие банки, осуществляющие операции в соответствии с исламскими принципами банковского дела и финансирования, руководствуются настоящим Положением с целью соблюдения стандартов управления операционным риском, установленных Положением «О минимальных требованиях по управлению рисками в банках, осуществляющих операции в соответствии с исламскими принципами банковского дела и финансирования», утвержденным постановлением Правления Национального банка Кыргызской Республики (далее Национальный банк) от 18 июля 2018 года № 2018-П-12/30-3-(БС). 

(В редакции постановления Правления Нацбанка КР от 27 декабря 2019 года № 2019-П-12/68-2-(НПА)) 

1.3. В Положении используются термины в соответствии с Положением «О минимальных требованиях по управлению рисками в банках Кыргызской Республики». 

 

II. Основные требования к организации управления операционным риском 

 

2.1. В банке должна быть разработана и утверждена Советом директоров банка политика по управлению операционным риском, соответствующая масштабу, профилю риска, системной значимости и размеру капитала банка. 

Политика по управлению операционным риском может быть представлена в виде отдельного документа либо может быть частью единой политики по управлению рисками и как минимум должна включать: 

- цели и задачи управления операционным риском; 

- основные принципы управления операционным риском; 

- основные виды операционных рисков с учетом всех направлений деятельности банка и причины их возникновения; 

- распределение полномочий и ответственности по всем уровням управления и мониторинга операционным риском; 

- методы выявления, оценки, мониторинга, контроля и минимизации операционного риска; 

- порядок предоставления отчетности и обмена информацией по управлению операционным риском. 

2.2. Основные принципы управления операционным риском предполагают, что во внутренних документах банка должны найти отражение: 

- порядок, правила и процедуры совершения банковских операций и других сделок; 

- функционирование информационных и других систем; 

- процедура, регламентирующая в случаях наступления форс-мажорных обстоятельств (таких как, стихийные бедствия (наводнения, землетрясения, бури, пожары и иные природные либо техногенные катастрофы), технические катастрофы, эпидемии, введение чрезвычайного положения, массовые беспорядки, мародерство, военные действия и т.п.) порядок перевода работы на резервный центр (при наличии), и взаимодействие персонала системы; 

- организация внутренних процессов, разделение полномочий, функциональных обязанностей; 

- порядок взаимодействия подразделений и сотрудников банка; 

- порядок представления отчетности и обмена информацией; 

- определение конфликта интересов и возможность их предотвратить в случае, если сделки касаются тех, кто принимает решения. 

2.3. В целях ограничения операционного риска банк должен иметь следующие документы: 

- по проведению всех типов операций, осуществляемых банком; 

- по физической безопасности, включающие требования к помещениям, в которых располагаются филиалы, хранилища, сейфы, документы и архивы, а также меры физической защиты технологий; 

- по приему, хранению и перевозке денежных средств и иных ценностей; 

- по обеспечению технологиями, которые должны быть протестированы, документально оформлены до их введения и которые могут быть обновлены в случае необходимости; 

- по аутсорсингу. Под аутсорсингом понимается привлечение банком внешних поставщиков услуг для выполнения на непрерывной основе отдельных видов работ и услуг, которые в обычных условиях осуществлялись бы самим банком. Банк не может использовать аутсорсинг для проведения операций, связанных с кредитованием, привлечением депозитов либо другой банковской операции, для которой требуется лицензия; 

- планы по обеспечению непрерывности бизнеса, включающие, наличие резервных помещений, внешние хранилища для резервных данных, процессы восстановления и планы на случай непредвиденных обстоятельств для реагирования на разрушение или непригодность ключевых систем. 

2.4. Политика по управлению операционным риском должна пересматриваться периодически, не менее одного раза в год, а процедуры и другие внутренние документы банка по управлению операционным риском должны пересматриваться по мере необходимости, но не менее одного раза в два года с учетом достигнутого уровня управления операционным риском в банке и международного опыта, полностью интегрироваться в общий процесс управления рисками банка, а также своевременно доводиться до сведения всех сотрудников банка. 

2.5. Совет директоров несет основную ответственность за управление операционным риском и определяет подходы, которые наиболее соответствуют деятельности банка, а также осуществляет контроль за эффективной реализацией Правлением банка политики и процедур по управлению операционным риском 

2.6. Оценка управления операционным риском должна производиться как в целом по банку, так и в разрезе направлений его деятельности, внутренних процессов, информационно-технологических систем и банковских продуктов, составляющих эти направления деятельности. Минимально, оценка управления операционным риском должна включать систематический анализ подверженности каждому виду операционного риска по каждому направлению деятельности банка. 

2.7. Для унификации подходов и сопоставимости данных банк может использовать следующую классификацию направлений деятельности: 

- открытие счетов, расчетно-кассовое обслуживание физических и юридических лиц; 

- проведение платежей; 

- кредитование; 

- управление активами, включая ценные бумаги; 

- оказание агентских услуг; 

- оказание брокерских услуг; 

- оказание консультационных услуг; 

- другие направления деятельности. 

2.8. Совет директоров банка совместно с Правлением банка должен обеспечить создание организационной структуры с установлением прав и обязанностей по всем уровням управления и мониторинг операционного риска в соответствии с основными принципами управления операционным риском. 

2.9. В целях управления операционными рисками, все банки должны обеспечить комплекс мер для восстановления и возобновления функционирования своих внутренних информационных систем согласно требованиям нормативных правовых актов Национального банка. 

 

III. Основы управления операционным риском 

 

3.1. Операционные убытки могут возникать вследствие событий и процессов, несущих в себе операционный риск, которые классифицируются по следующим типам: 

3.1.1. Внутреннее мошенничество, то есть злоупотребления или неправомерные действия сотрудников банка (например, злоупотребление служебным положением, хищения, преднамеренное сокрытие фактов совершения операций, несанкционированное использование информационных систем и ресурсов, преднамеренное нарушение внутренних документов банка, неправомочное использование информации, полученное сотрудником в ходе выполнения служебных обязанностей с выгодой для себя). 

Основной подход в управлении риском при возникновении данных событий заключается в наличии надежной системы внутреннего контроля, которая включает разделение обязанностей, организацию двойного контроля и четкое определение делегированных лимитов одобрения. Необходимо, чтобы соответствующая служба внутреннего аудита, осуществляющая проверку соблюдения установленных политик и процедур, поддержала данную систему внутреннего контроля. 

3.1.2. Внешнее мошенничество, то есть неправомерные действия посторонних по отношению к банку лиц (например, ограбление, несанкционированное проникновение в информационные и другие системы банка, подлог и/или подделка платежных и других документов). 

В дополнение к общей системе внутреннего контроля, банки должны разработать конкретные меры, обеспечивающие физическую безопасность и безопасности информационных технологий, согласно утвержденной политике. Основы управления операционным риском предписывают, что данные политики четко определяют каким образом можно снизить риски воровства и мошенничества с указанием возможных убытков из-за ограбления филиалов или воровства денежных средств, находящихся в пути, и неадекватности безопасности информационных технологий. 

3.1.3. Практика приема на работу, нарушения банковского, трудового и иного законодательства, условий безопасности труда и охраны здоровья сотрудников. 

Данные виды событий, несущие в себе операционный риск, определяются в большей степени внутренними нормативными актами банка о трудовых ресурсах с учетом возможности страхования в соответствии с законодательством. 

3.1.4. Нарушение банком обязательств по договорам перед клиентами банка и третьими лицами, злоупотребление информацией о клиентах банка, некачественное осуществление операций или предоставление услуг, несоблюдение обычаев делового оборота, нарушение антимонопольного законодательства, несоблюдение требований по изучению клиентов. 

Меры по обеспечению надлежащего обучения и надзора за сотрудниками, соблюдению положений о поведении на рынке и защите прав потребителей являются основными мерами снижения данных видов операционных рисков. 

3.1.5. Причинение ущерба материальным активам банка (например, вследствие пожара, стихийных бедствий, актов терроризма, вандализма и т.д.). 

Обеспечение физической безопасности, включая защиту помещений и иных активов, а также планирование непрерывности бизнеса, в том числе наличие средств резервного копирования в случае разрушения или отказа в доступе к ключевым помещениям представляют собой основные подходы в управлении данными рисками. Страхование остановки бизнеса может также играть роль в уменьшении финансовых затрат. 

3.1.6. Сбои в функционировании или выход из строя информационных и других систем, оборудования, коммуникаций банка. 

Планирование и обеспечение непрерывности бизнеса, что включает в себя процесс резервного копирования и восстановления, резервные механизмы реагирования на непригодность или на разрушение наиболее важной информации или технологии, являются основными средствами снижения данных операционных рисков. В дополнение, строгое тестирование новых или усовершенствованных систем, в том числе на способность восстанавливать информацию в случае сбоев в функционировании или выхода из строя, представляет собой необходимый компонент политики по управлению технологиями. 

3.1.7. Ненадлежащая организация внутренних процессов и информационных потоков, в том числе порядка доступа к конфиденциальной информации, как например, к счетам клиентов, к информационным системам, ненадлежащее исполнение операций и установленных процедур, нарушение обязательств перед банком поставщиками работ или услуг, ошибки при вводе данных по операциям и сделкам, бухгалтерские ошибки, ошибки в расчетах, неправильное или неполное составление отчетности или правовой документации, утеря или уничтожение документов, недостатки и нарушения по управлению залогами и т.д. 

Операционный риск в результате указанных факторов в значительной степени контролируется соответствующими системами внутреннего контроля. Если при проведении отдельных видов работ и услуг банк использует услуги подрядчиков, то у него должны быть соответствующие внутренние нормативные документы, предусматривающие обстоятельства, при которых можно использовать аутсорсинг, подбирать квалифицированных и надежных поставщиков услуг, устанавливать стандарты качества, в том числе стандарты соответствия, безопасности и своевременности, проводить мониторинг рисков, разрабатывать планы на случай непредвиденных обстоятельств для ключевых поставщиков услуг на случай срывов. 

3.1.7-1. До использования аутсорсинга банку необходимо разработать процедуру принятия решений о привлечении поставщиков услуг, а также подготовить договоры аутсорсинга. Договор аутсорсинга является важным инструментом снижения рисков, связанных с его неисполнением или возникновением разногласий сторон. К ключевым положениям договора аутсорсинга должны быть отнесены следующие: 

- четкое определение видов работ и услуг, передающихся на исполнение третьей стороне; 

- возможность доступа банка к финансовой отчетности поставщика услуг, в том числе в случаях, когда финансовое состояние поставщика услуг может повлиять на исполнение им обязательств по договору аутсорсинга и иной информации, имеющей отношение к объекту аутсорсинга. При этом по запросу Национального банка и внешних аудиторов банк обязан предоставить указанную информацию, имеющую отношение к объекту аутсорсинга; 

- непрерывное осуществление банком мониторинга и оценки деятельности поставщика услуг с целью своевременного принятия корректирующих мер; 

- условия и минимальные сроки прекращения действия договора в случае возникновения необходимости, а также обязательства, остающиеся в силе, после прекращения действия договора; 

- порядок урегулирования существенных вопросов, присущих только договору об аутсорсинге (например, если поставщик услуг находится за рубежом, положение о законодательстве стран сторон заключения договора, во избежание коллизии нормативных правовых актов); 

- условия передачи на субдоговор всей или части аутсорсинговой деятельности в случае возникновения необходимости (для обеспечения возможности сохранения аналогичного режима управления рисками в случае изменения поставщика услуг); 

- вопросы обеспечения поставщиком услуг конфиденциальности информации, касающейся банка, и защиты от намеренного или случайного ее раскрытия посторонним лицам. 

Процедура принятия решений о привлечении поставщиков услуг должна включать в себя критерии, позволяющие осуществлять предварительную оценку возможности и способности поставщика услуг эффективно, надежно и на высоком уровне осуществлять аутсорсинговую деятельность, а также оценивать факторы возникающих рисков, связанных с привлечением определенного поставщика услуг. 

При разработке критериев банку следует учитывать, что поставщик услуг должен: 

- обладать необходимыми ресурсами и иметь работников соответствующей квалификации для выполнения работ и услуг, передаваемых банком на аутсорсинг; 

- понимать цели и задачи банка в данной области деятельности и действовать в соответствии с ними; 

- быть финансово состоятельным с тем, чтобы своевременно и в полном объеме выполнять свои обязательства. 

(В редакции постановления Правления Нацбанка КР от 17 октября 2018 года №2018-П-12/43-2-(НПА)) 

3.2. Для выявления влияния внешних факторов на уровень операционного риска необходимо провести анализ следующих условий деятельности банка: 

- анализ внешней финансовой среды, влияющей на деятельность банка; 

- анализ подверженности операционному риску всех направлений деятельности банка, в том числе и освоение новых направлений деятельности; 

- анализ отдельных операций банка; 

- анализ внутренних политик и процедур, включая порядок составления отчетности и обмен информацией. 

3.3. Для обеспечения эффективного выявления операционного риска банк должен вести учет всех событий, связанных с возникновением операционного риска. Информация о риск-событиях банка представляется банком в Национальный банк ежемесячно в составе Периодического регулятивного банковского отчета. 

(В редакции постановления Правления Нацбанка КР от 27 декабря 2019 года №2019-П-12/68-2-(НПА)) 

3.4. Для выявления и оценки операционного риска банки могут самостоятельно разработать методы оценки операционного риска или использовать методы, применяемые в международной банковской практике, которые должны быть отражены во внутренних документах банка. При этом метод оценки операционного риска должен соответствовать характеру и масштабам деятельности банка. 

3.5. В целях своевременного обнаружения и устранения недостатков управления операционным риском банк должен регулярно проводить мониторинг операционного риска. В процессе мониторинга банк может использовать систему показателей, сигнализирующих о вероятности наступления событий, в результате которых могут возникнуть операционные убытки (например, быстрый рост объема проводимых операций, количество несостоявшихся и незавершенных операций, текучесть кадров, количество и частота допускаемых ошибок, частота и продолжительность сбоев информационных и других систем банка и т.д.). 

 

IV. Контроль за эффективностью управления операционным риском 

 

4.1. Правление банка должно установить соответствие процессов определения, оценки, контроля и мониторинга операционных рисков потребностям банка, оценивать их последовательное использование в течение определенного времени. 

4.2. Совет директоров банка должен систематически проводить оценку эффективности управления операционным риском. 

4.3. На основе анализа внешних и внутренних факторов, влияющих на деятельность банка, необходимо периодически, но не менее одного раза в два года, пересматривать внутренние процессы и процедуры с целью выявления операционных рисков. Особое внимание необходимо уделить качеству средств контроля за документацией и практике осуществления операций. 

4.4. Во внутренних документах банка необходимо установить порядок и периодичность рассмотрения фактов операционных убытков, выявления причин их возникновения, и порядок применения мер по их устранению. 

4.5. Контроль за соблюдением политик и процедур по операционному риску осуществляется в рамках системы внутреннего контроля. Контроль за операционным риском предполагает, как минимум, контроль: 

- за соблюдением установленных лимитов при осуществлении операций и предоставлении услуг; 

- за соблюдением принципа разграничения полномочий, порядка утверждения и подотчетности по осуществляемым операциям и предоставляемым услугам; 

- за соблюдением установленного порядка доступа к информации и материальным активам банка; 

- за обучением и повышением квалификации персонала банка. 

4.6. Совет директоров банка должен рассмотреть возможность страхования убытков по конкретным категориям операционных рисков в соответствии с законодательством. 

4.7. Кроме того, должна производиться оценка достаточности имеющегося страхового возмещения и способности банка к самострахованию от потерь, связанных с событиями, несущими в себе операционный риск. 

 

V. Раскрытие информации по управлению операционным риском 

 

5.1. Банк должен в достаточной степени раскрывать информацию по обеспечению мер, снижающих операционный риск для вкладчиков и других клиентов, кредиторов, акционеров (участников) банка, внешних аудиторов, других организаций, учреждений и населения в составе годового отчета. 

  

Примечание: 

(*) Заключение договора на выполнение работ с внешними организациями. 

  

Приложение N 1 

(утратило силу в соответствии с постановлением Правления Нацбанка КР 

от 27 декабря 2019 года №2019-П-12/68-2-(НПА))