Suvestinė redakcija nuo 2022-11-01 iki 2023-06-30
Nutarimas paskelbtas: Žin. 2008, Nr. 127-4888, i. k. 108505ANUTA00000149
LIETUVOS BANKO VALDYBOS
NUTARIMAS
DĖL VIDAUS KONTROLĖS IR RIZIKOS VERTINIMO (VALDYMO) ORGANIZAVIMO NUOSTATŲ
2008 m. rugsėjo 25 d. Nr. 149
Vilnius
Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 3 dalies 1 punktu, Lietuvos banko valdyba n u t a r i a:
Preambulės pakeitimai:
Nr. 03-26, 2014-02-06, paskelbta TAR 2014-02-18, i. k. 2014-01745
2. Pripažinti netekusiais galios:
2.1. Lietuvos banko valdybos 2001 m. gruodžio 6 d. nutarimą Nr. 178 „Dėl Bendrųjų banko vidaus kontrolės organizavimo nuostatų“ (Žin., 2001, Nr. 107-3894);
2.2. Lietuvos banko valdybos 2003 m. liepos 24 d. nutarimą Nr. 74 „Dėl Operacinės rizikos valdymo banke bendrųjų nuostatų“ (Žin., 2003, Nr. 77-3568);
2.3. Lietuvos banko valdybos 1995 m. liepos 7 d. nutarimą Nr. 61 „Dėl Paskolų komiteto sudarymo ir veiklos tvarkos patvirtinimo“ (Žin., 1995, Nr. 62-1568).
PATVIRTINTA
Lietuvos banko valdybos
2008 m. rugsėjo 25 d. nutarimu Nr. 149
VIDAUS KONTROLĖS IR RIZIKOS VERTINIMO (VALDYMO) ORGANIZAVIMO NUOSTATOS
I. BENDROSIOS NUOSTATOS
1. Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatos (toliau – Nuostatos) nustato pagrindinius principus, kuriais turi vadovautis bankas, siekdamas užtikrinti, kad banko vidaus kontrolės sistema ir rizikos vertinimas (valdymas) būtų tinkamai organizuotas, veiksmingas ir užtikrintų saugią ir stabilią banko veiklą.
2. Nuostatos taikomos Lietuvos Respublikoje įsteigtiems bankams, centrinėms kredito unijoms ir užsienio bankų, licencijuotų ne Europos Sąjungos valstybėje narėje, filialams (toliau – bankai). Nuostatų 21–26 punktų reikalavimai dėl laiduotojo (garanto) rizikos vertinimo taip pat taikomi Lietuvos Respublikoje įsteigtiems užsienio bankų, licencijuotų Europos Sąjungos valstybėje narėje, filialams. Nuostatų III skyrius mutatis mutandis taip pat taikomas kredito unijoms.
Punkto pakeitimai:
Nr. 03-26, 2014-02-06, paskelbta TAR 2014-02-18, i. k. 2014-01745
Nr. 03-83, 2019-04-18, paskelbta TAR 2019-04-19, i. k. 2019-06544
Nr. 03-23, 2022-02-10, paskelbta TAR 2022-02-14, i. k. 2022-02547
3. Nuostatos mutatis mutandis taikomos banko finansinei grupei, jeigu jai taikomi Lietuvos Respublikos įstatymuose ir Lietuvos banko teisės aktuose nustatyti konsoliduotos priežiūros reikalavimai.
4. Nuostatos parengtos atsižvelgiant į Bazelio bankų priežiūros komiteto paskelbtus dokumentus: Vidaus kontrolės sistemų bankuose struktūrą (angl. Framework for internal control systems in banking organisations), Patikimą paskolų vertinimą ir matavimą (angl. Sound credit risk assessment and valuation for loans), Kredito rizikos valdymo principus (angl. Principles for the management of credit risk), Palūkanų normos rizikos valdymo principus (angl. Principles for the management and supervision of interest rate risk), Patikimą likvidumo valdymo bankinėse organizacijose praktiką (angl. Sound practices for managing liquidity in banking organizations), Patikimą operacinės rizikos valdymo ir priežiūros praktiką (angl. Sound practices for the management and supervision of operational risk).
Punkto pakeitimai:
Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117
Nr. 03-31, 2011-03-15, Žin., 2011, Nr. 35-1698 (2011-03-24), i. k. 111505ANUTA00003-31
Nr. 03-23, 2022-02-10, paskelbta TAR 2022-02-14, i. k. 2022-02547
II. RIZIKOS VALDYMAS IR VIDAUS KONTROLĖS SISTEMA
Pakeistas skyriaus pavadinimas:
Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117
41. Banke turi būti įdiegta veiksminga rizikos valdymo sistema, apimanti rizikos valdymo strategiją, politiką, rizikos limitų sistemą, kitas rizikos valdymo priemones ir procedūras, taip pat rizikos valdymo vidaus kontrolę ir vidaus auditą, bei atlyginimų nustatymo politika ir praktika, deranti su veiksmingu rizikos valdymu ir skatinanti tokį valdymą.
Papildyta punktu:
Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117
Punkto pakeitimai:
Nr. 03-172, 2010-12-23, Žin., 2010, Nr. 156-7963 (2010-12-30), i. k. 110505ANUTA0003-172
5. Vidaus kontrolė – tai nenutrūkstamas procesas, kurio metu ir kuriam darydami įtaką banko vadovai ir kiti darbuotojai užtikrina, kad:
5.1. banko veikla, naudojant banko turtą ir kitus išteklius, bus veiksminga, bankas bus apsaugotas nuo galimų nuostolių;
5.2. finansinė ir kita informacija, naudojama tiek banko viduje, tiek priežiūros tikslais ar kitų trečiųjų asmenų, bus patikima, tinkama ir pateikiama laiku;
6. Banko veiklos vidaus kontrolę banke turi užtikrinti patikima ir tinkamai veikianti vidaus kontrolės sistema. Banko veiklos vidaus kontrolės sistemą turi sudaryti:
6.1. tinkama organizacinė struktūra, leidžianti užtikrinti funkcijų atskyrimą ir vertikalius bei horizontalius atsakomybės ryšius;
6.2. tinkama vidaus informacinė sistema, valdymo organų informavimo sistema, leidžianti laiku priimti sprendimus;
7. Veiksmingas 6.1–6.7 punktuose nurodytų vidaus kontrolės elementų funkcionavimas yra būtinas siekiant pagrindinių vidaus kontrolės tikslų.
8. Banko vidaus kontrolė turi būti organizuota vadovaujantis šiais pagrindiniais reikalavimais:
8.1. banko stebėtojų taryba užtikrina, kad banke būtų veiksminga vidaus kontrolės sistema. Banko stebėtojų taryba turi pažinti ir išmanyti visas reikšmingas, su banko veikla susijusias rizikos rūšis, nustatyti bankui priimtiną rizikos mastą ir užtikrinti, kad banko valdymo organai imtųsi visų reikalingų priemonių, kad riziką nustatytų, įvertintų ir kontroliuotų. Banko stebėtojų taryba atsakinga už bendros banko veiklos strategijos ir reikšmingos politikos tvirtinimą ir periodišką peržiūrą;
Punkto pakeitimai:
Nr. 03-23, 2022-02-10, paskelbta TAR 2022-02-14, i. k. 2022-02547
8.2. banko valdymo organai atsakingi už banko veiklos strategijos ir reikšmingos politikos įgyvendinimą, rizikos nustatymo, vertinimo, stebėjimo ir kontrolės bei atskaitomybės procesų tobulinimą banke, organizacinės struktūros, aiškiai nustatančios banko darbuotojų teises, pareigas ir atsakomybę, palaikymą ir užtikrinimą, kad tos pareigos bus atliekamos. Banko valdymo organai yra atsakingi ir užtikrina tinkamas procedūras, reikalingas vidaus kontrolei, stebi ir palaiko jų veiksmingumą ir pakankamumą;
8.3. banko valdymo organai turi skatinti darbuotojus laikytis griežtų etikos standartų ir sukurti visiems banko darbuotojams aplinką, pabrėžiančią vidaus kontrolės svarbą. Banko valdymo organai turi užtikrinti, kad darbuotojai turėtų tinkamą kvalifikaciją ir reputaciją, pakankamai patirties ir reikiamų įgūdžių savo pareigoms atlikti. Savo ruožtu banko darbuotojai turi įvertinti savo svarbą ir vietą vidaus kontrolės procese. Banko valdymo organai turi užtikrinti, kad banko išleistose rašytinėse veiklos procedūrose bus pabrėžta banko darbuotojo svarba ir vieta vidaus kontrolės procese ir kad su jomis bus supažindinti atitinkami banko darbuotojai;
8.4. banke veikianti informavimo sistema turi būti tinkamai reglamentuota (turi būti banko valdymo organams teikiamos informacijos registras pagal kiekvieną banko valdomą rizikos rūšį, nurodyti atsakingi asmenys, teikimo periodiškumas).
8.5. veiksminga vidaus kontrolės sistema turi užtikrinti, kad rizika, kuri gali turėti įtakos banko veiklai, yra nustatyta ir nuolat vertinama. Rizikos vertinimas turi apimti visas rizikos rūšis (kredito, rinkos, likvidumo, operacinę, teisinę, reputacijos ir kitą), su kuriomis susiduria bankas ar visa banko finansinė grupė, apimanti ir globojantį (patronuojantį) banką. Vidaus kontrolės sistema periodiškai turi būti peržiūrima siekiant tinkamai įvertinti naujas arba anksčiau nekontroliuotas rizikos rūšis;
8.6. vidaus kontrolė – neatskiriama ir nenutrūkstama banko kasdieninės veiklos dalis. Veiksminga vidaus kontrolės sistema turi užtikrinti, kad bus sukurta tinkama kontrolės struktūra, nustatytos kontrolės procedūros kiekvienu valdymo lygiu. Kontrolės procedūros turėtų apimti: ataskaitas banko valdymo organams, tinkamą banko struktūrinių padalinių (departamentų, skyrių ir pan.) veiklos kontrolę, banko turto apsaugą, nustatytų limitų laikymosi ir nukrypimų nuo jų fiksavimą ir banko valdymo organų informavimą, teisių atlikti operacijas suteikimą bei duomenų lyginimą ir tikrinimą;
8.7. viena iš veiksmingos vidaus kontrolės sistemos sąlygų – tinkamas darbuotojų funkcijų atskyrimas, t. y. turi būti vengiama interesų konfliktų. Banko valdymo organai ir atitinkamų struktūrinių padalinių vadovai turi užtikrinti, kad būtų atskirtas teisių atlikti finansines ir ūkines operacijas suteikimas, jų vykdymas, įtraukimas į apskaitą ir saugojimas. Galimos interesų konfliktų veiklos sritys turi būti nustatytos, jų skaičius sumažintas iki minimumo, jas atidžiai turi stebėti nepriklausomas asmuo, t. y. asmuo, nesusijęs su interesų konfliktų sritimis. Kiekviena darbuotojo užduotis turi būti aiški, logiška, o teisės, pareigos ir atsakomybė aptartos ir suderintos;
8.8. veiksminga vidaus kontrolės sistema reikalauja, kad banke veiktų patikimos informacinių technologijų sistemos, kurios apimtų visas reikšmingas banko veiklos sritis. Turi būti užtikrinta saugi ir nenutrūkstama šių sistemų, ypač susijusių su duomenų kaupimu, apdorojimu ir naudojimu, veikla, parengti jų veiklos tęstinumo planai ir pasiruošta įvairiems ypatingiems atvejams;
8.9. vidaus kontrolės sistema turi garantuoti patikimos ir tinkamos vidaus bei išorės informacijos, turinčios įtakos priimant sprendimus, pateikimą laiku ir tinkama forma, taip pat kad visi banko darbuotojai būtų susipažinę ir išmanytų banko politiką ir procedūras, susijusias su jų pareigomis ir atsakomybe;
8.10. banko vidaus kontrolės sistemos veiksmingumas turi būti vertinamas tiek nuolat (banko darbuotojams atliekant savo pareigas), tiek periodiškai (atliekant vidaus, išorės auditą, savęs vertinimą ar kitais pasirinktais būdais);
8.11. vidaus kontrolės sistemos vidaus auditą turi atlikti nepriklausomas banko padalinys, kuriam pavestos tokios funkcijos, turintis tinkamą kvalifikaciją ir kompetenciją. Viena iš vidaus audito funkcijų – stebėti vidaus kontrolės sistemą, tiesiogiai informuoti audito komitetą ir (arba) banko vadovus apie pastebėtus trūkumus arba pažeidimus;
III. KREDITO RIZIKOS PRISIĖMIMAS IR VALDYMAS
9. Bankas turi turėti banko organų patvirtintas kreditavimo bei kredito rizikos valdymo strategijas (politikas), kurios būtų peržiūrimos bent kartą per metus. Banko valdyba turi užtikrinti šių strategijų (politikų) laikymąsi ir tuo tikslu parengti atitinkamas kredito rizikos nustatymo, vertinimo, stebėsenos ir kontrolės politikas ir procedūras ir užtikrinti jų įgyvendinimą.
10. Banko kredito rizikos valdymą reglamentuojantys dokumentai turi atitikti banko kreditavimo veiklos pobūdį ir sudėtingumą, būti suderinti su apdairia bankine praktika ir atspindėti banko kredito rizikos valdymo kultūrą.
11. Bankas turi turėti tinkamai nustatytą norimos prisiimti kredito rizikos dydį bei limitų sistemą.
12. Visi kreditavimo produktai ir procesai turi būti tinkamai reglamentuoti ir dokumentuoti laikantis rizikos vertinimo ir vidaus kontrolės reikalavimų.
14. Bankas turi įtraukti aplinkosaugos, socialinius ir valdymo veiksnius ir su jais susijusią riziką į savo vidaus politikas ir procedūras. Bankas, teikiantis arba ketinantis teikti aplinkosaugos atžvilgiu tvarius kredito produktus, savo kredito rizikos politikoje ir procedūrose turi konkrečiai apibūdinti ir aplinkosaugos atžvilgiu tvaraus skolinimo politiką ir procedūras.
15. Bankas turi turėti sandorių su finansiniu svertu apibrėžtį, nustatytą tokių sandorių rizikos dydį ir valdymo strategiją.
16. Bankas turi turėti aiškiai apibrėžtus paskolų suteikimo kriterijus. Šie kriterijai turi būti orientuoti į banko kreditavimo politikos įgyvendinimą ir atspindėti skolininko arba sandorio šalies bei paskolos priimtinumą ir riziką.
17. Bankas turi turėti pakankamą, tikslią ir atnaujintą informaciją ir duomenis, kurie yra būtini skolininko kreditingumui ir rizikos profiliui įvertinti prieš sudarant paskolos sutartį ir per visą paskolos gyvavimo ciklą.
18. Bankas turi nustatyti bendrus kredito limitus atskirų skolininkų ir sandorio šalių bei tarpusavyje susijusių sandorio šalių grupių lygmeniu, kurie apimtų bankinės ir prekybos knygos, balansines ir nebalansines pozicijas.
19. Bankai turi turėti aiškiai nustatytą naujų paskolų patvirtinimo, taip pat esamų paskolų pertvarkymo tvarką bei su tuo susijusias tinkamas skolininkų būklės (kreditingumo) ir užtikrinimo priemonių vertinimo, paskolų kainų nustatymo tvarkas ir procedūras ir užtikrinti jų laikymąsi.
20. Vertindamas kredito riziką, bankas turi įvertinti riziką, susijusią su kredito gavėjo kompetencija, taip pat įvertinti kredito gavėjo supratimą apie prisiimamus kredito įsipareigojimus. Kai paskolos suteikiamos užsienio valiuta, bankas:
20.1. prieš suteikdamas kreditą užsienio valiuta, informuoja kredito gavėją apie riziką, susijusią su užsienio valiutos kurso pokyčiais, ir galimą reikšmingo užsienio valiutos kurso pasikeitimo įtaką kredito gavėjo įmokoms bei galimybėms grąžinti kreditą laiku. Jeigu kreditas suteikiamas kintamosiomis palūkanų normomis, bankas turi atlikti kredito gavėjų galimybių grąžinti kreditą laiku analizę, įvykus nepalankiam palūkanų normų šokui, ir informuoti kredito gavėjus apie palūkanų normų pokyčių įtaką kredito įmokoms;
20.2. siekdamas įgyvendinti Nuostatų 20.1 punkte numatytus reikalavimus, bankas turi apskaičiuoti ir kredito gavėją informuoti apie būsimas kredito įmokas, taikydamas kredito suteikimo momentu esančią palūkanų normos bazę ir esamą valiutos kursą, ir apie galimus kredito įmokų pasikeitimus, gautus padidinus palūkanų normą banko prognozuojamais palūkanų normų pokyčiais ir galimais reikšmingais užsienio valiutos kurso pasikeitimais.
21. Vertindamas fizinio asmens – laiduotojo (garanto) riziką, bankas turi imtis priemonių, kad įsitikintų, jog laiduotojo (garanto) finansinė būklė atitinka prisiimamus pagal laidavimo (garantijos) sutartį įsipareigojimus, ir surinkti tai patvirtinančius pagrįstus ir pakankamus įrodymus.
22. Preziumuojama, kad laiduotojo (garanto) finansinė būklė atitinka prisiimamus pagal laidavimo (garantijos) sutartį įsipareigojimus, jeigu:
22.1. už paskolą laiduojančio (garantuojančio) fizinio asmens laiduojama (garantuojama) suma neviršija laiduotojo (garanto) nuosavybės teise valdomo nesuvaržyto turto vertės; arba
22.2. laiduotojo (garanto) visų įsipareigojimų pagal paskolos ir kitas sutartis vidutinės įmokos dydžio ir pajamų santykis neviršija 40 proc. asmens (namų ūkio) tvarių pajamų. Ši prezumpcija taikoma, jeigu paskolos gavėjas yra fizinis asmuo ir jeigu laidavimo (garantijos) sutartyje, sudaromoje tarp banko ir fizinio asmens, susitariama, kad, paskolos gavėjui neįvykdžius įsipareigojimų pagal paskolos sutartį arba juos netinkamai įvykdžius, laiduotojas (garantas) toliau tęs įmokų pagal paskolos sutartį mokėjimą paskolos sutartyje nustatytais terminais, neviršydamas laiduotos (garantuotos) sumos.
23. Pagal Nuostatų 22.1 papunktį, nesuvaržytu turtu laikomas turtas arba jo dalis, kurie nėra įkeisti, areštuoti, į juos nėra nukreiptas išieškojimas pagal vykdomuosius dokumentus ir šis turtas neturi kitų tiesiogiai su juo susietų finansinių įsipareigojimų.
24. Bankas Nuostatų 22.1 papunktyje nurodytą laiduotojo (garanto) nesuvaržyto turto vertę nustato atlikdamas vidaus arba išorės turto vertinimą ir atsižvelgdamas į Lietuvos Respublikos turto ir verslo vertinimo pagrindų įstatyme ir kituose teisės aktuose įtvirtintus turto vertės nustatymo principus ir kriterijus.
25. Apskaičiuojant Nuostatų 22.2 papunktyje nurodytą laiduotojo (garanto) visų įsipareigojimų pagal paskolos ir kitas sutartis vidutinės įmokos dydžio ir pajamų santykį, mutatis mutandis taikomi Lietuvos banko valdybos 2011 m. rugsėjo 1 d. nutarimo Nr. 03-144 „Dėl Atsakingojo skolinimo nuostatų“ V ir VII skyriuose nustatyti reikalavimai, jeigu Nuostatose nenustatyta kitaip.
26. Jeigu laiduojama (garantuojama) mažesnė nei visų įsipareigojimų pagal užtikrintą paskolos sutartį suma, bankas, apskaičiuodamas Nuostatų 22.2 papunktyje nurodytą santykį, turi teisę naudoti laiduotos (garantuotos) sumos dydį.
27. Bankas turi sukurti aiškią ir gerai dokumentuotą sprendimų dėl kreditų priėmimo sistemą, kuria turėtų būti nustatyta aiški ir patikima įstaigos sprendimų dėl kreditų priėmimo pareigų struktūra, įskaitant sprendimus dėl kreditų priimančių asmenų hierarchijos aprašymą ir jų pasiskirstymą įstaigos organizacinėje ir verslo struktūroje ir atskaitomybės ryšius.
28. Bankas turi turėti veiksmingą sistemą, skirtą nuolatiniam įvairių, su kredito rizika susijusių pozicijų administravimui, įskaitant paskolos suteikimo sąlygų vykdymo stebėseną.
29. Bankas turi turėti veiksmingą ir patikimą bendrą paskolų portfelio ir jo kokybės stebėsenos, įskaitant išankstinius įspėjimo signalus, sistemą, taip pat atskirų paskolų, skolininkų būklės, užtikrinimo priemonių stebėjimo sistemą, apimančią ir tikėtinų kredito nuostolių (specialiųjų atidėjinių) pakankamumo nustatymą.
30. Bankas turi turėti ir naudoti veiksmingą skolininkų ir paskolų reitingų, rizikos grupių ar kitokio kiekybinio rangų nustatymo sistemą, kuri atitiktų banko veiklos pobūdį, dydį ir sudėtingumą.
31. Bankas turi turėti tinkamas informacines sistemas ir analitinius metodus, kurie leistų įvertinti kredito riziką, būdingą visai balansinei ir nebalansinei veiklai. Duomenų infrastruktūra turėtų būti išsami ir pakankamai detali.
32. Bankas, vertindamas atskiras paskolas ir paskolų portfelius, turėtų atsižvelgti į galimus būsimus ekonominių sąlygų pokyčius ir turėtų įvertinti savo kredito rizikos pozicijas nepalankiomis sąlygomis.
33. Bankas turi turėti nuo kreditavimo funkcijos nepriklausomą nuolatinio banko kredito rizikos valdymo procesų vertinimo sistemą, o tokių vertinimų rezultatai turėtų būti tiesiogiai perduodami banko valdymo organams.
34. Bankas turi užtikrinti, kad paskolų suteikimo funkcija būtų tinkamai valdoma ir kad kredito pozicijos atitiktų teisės aktų ir priežiūros institucijos reikalavimus ir banko vidaus limitus. Bankas turi užtikrinti, kad apie politikos, procedūrų ir apribojimų išimtis būtų laiku pranešama tinkamu valdymo lygmeniu, kad būtų galima laiku imtis atitinkamų veiksmų.
35. Bankas turi turėti su blogėjančių, probleminių neveiksnių paskolų bei už skolas perimto turto valdymu susijusių veiksmų sistemą.
36. Banke turi būti aiškiai aprašytos valdymo organų ir kitų, kredito rizikos prisiėmimo, valdymo ir kontrolės procesuose dalyvaujančių organų, padalinių ir asmenų pareigos ir atsakomybės. Banko valdyba turi užtikrinti, kad jų būtų laikomasi.
37. Banko kredito rizikos valdymo ir kontrolės sistemos turi apimti banko naudojamų su technologijomis susijusių inovacijų rizikos valdymą.
38. Bankas turi tinkamai dokumentuoti ir valdyti automatinių kreditingumo vertinimo ir sprendimų dėl kreditų priėmimo modelių riziką.
39. Nuostatų 9–38 punktų reikalavimai taikomi atsižvelgiant į šias Europos bankininkystės institucijos priimtas gaires: Gairės dėl paskolų išdavimo ir stebėsenos (EBA/GL/2020/06); Gairės dėl neveiksnių ir pertvarkytų pozicijų valdymo (EBA/GL/2018/06); Gairės dėl susijusių klientų pagal Reglamento (ES) Nr. 575/2013 4 straipsnio 1 dalies 39 punktą (EBA/GL/2017/15); Kredito įstaigų kredito rizikos valdymo praktikos ir tikėtinų kredito nuostolių apskaitos gairės (EBA/GL/2017/06).
391. Kreditorinių įsipareigojimų neįvykdymo apibrėžtis nustatoma atsižvelgiant į Europos bankininkystės institucijos priimtas gaires dėl Reglamento (ES) Nr. 575/2013 178 straipsnyje nustatytos kreditinių įsipareigojimų neįvykdymo apibrėžties taikymo (EBA/GL/2016/07).
Skyriaus pakeitimai:
Nr. 03-23, 2022-02-10, paskelbta TAR 2022-02-14, i. k. 2022-02547
IV. PREKYBOS KNYGOJE ĮVARDIJAMOS RIZIKOS VALDYMAS
40. Bankas turi turėti tokias savo sąskaita sudaromų sandorių stebėjimo sistemas, kad galėtų bent kartą per dieną:
40.1. registruoti sandorius, pagal Reglamento (ES) Nr. 575/2013 104 straipsnį įtraukiamus į prekybos knygą, apskaičiuoti jų rezultatus ir nustatyti pozicijas tokiu pačiu dažnumu;
40.2. matuoti prekybos knygos pozicijų, susijusių tiek su specifine, tiek su bendrąja palūkanų normos rizika, kaip apibrėžta Reglamento (ES) Nr. 575/2013 334–343 straipsniuose, ir vertinti banko prekybos knygos pozicijų įtaką banko kapitalo pakankamumui.
Punkto pakeitimai:
Nr. 03-341, 2014-12-23, paskelbta TAR 2014-12-30, i. k. 2014-20967
41. Bankas turi užtikrinti, kad reguliariai vertins riziką, kuri jam kiltų dėl rinkos arba, jei aktualu, dėl tam tikro atskiro rinkos segmento parametrų reikšmingų pokyčių. Parametrų ir prielaidų, naudojamų vertinant riziką, pagrįstumas ir patikimumas turi būti reguliariai peržiūrimi.
42. Bankas, kuris valdydamas prekybos knygoje įvardijamą riziką taiko rizikos vertės (angl. value-at-risk) modelius, turi laikytis Reglamento (ES) Nr. 575/2013 IV antraštinės dalies 5 skyriaus reikalavimų, keliamų vidaus modeliams.
Punkto pakeitimai:
Nr. 03-341, 2014-12-23, paskelbta TAR 2014-12-30, i. k. 2014-20967
V. PALŪKANŲ NORMOS RIZIKOS VALDYMAS
44. Bankas turi turėti palūkanų normos rizikos vertinimo sistemą, kurią naudodamas galėtų:
44.1. įvertinti esamas ir numatomas pozicijas ir srautus, susijusius su visais sandoriais (įtraukiamais tiek į balansinius, tiek į nebalansinius banko finansinių ataskaitų straipsnius);
44.2. nustatyti įvairius skirtingus palūkanų normos riziką lemiančius veiksnius, susijusius su vykdomais sandoriais;
45. Bankas turi užtikrinti, kad reguliariai vertina riziką, kuri kiltų dėl reikšmingų rinkos parametrų pokyčių.
46. Bankas turi nustatyti tikslų su naujais produktais, sandoriais ir naujomis veiklos sritimis susijusios palūkanų normos rizikos laipsnį ir užtikrinti, kad prieš pradėdamas įgyvendinti naujas produktų, apsidraudimo arba pozicijų prisiėmimo strategijas bankas įdiegs atitinkamas procedūras ir rizikos kontrolės sistemas.
47. Bankas turi atsižvelgti į:
47.1. perkainojimo riziką: šią riziką bankas patiria, kai yra turto ir įsipareigojimų grąžinimo (fiksuotų palūkanų normų priemonės) ir kainų pokyčių terminų (kintamųjų palūkanų normų priemonės) neatitikimų. Kai finansinės priemonės yra su kintamąja palūkanų norma, bankas patiria riziką, kad šios priemonės vertė sumažės, bankui nepalankia linkme pakitus palūkanų normai, pvz., jei bankas ilgalaikę paskolą su pastovia palūkanų norma finansavo trumpalaikiu indėliu su kintančia palūkanų norma, tai, pakilus palūkanų normos lygiui ir suėjus terminui mokėti palūkanas už indėlį, bankui tektų sumokėti jų daugiau, tuo tarpu iš skolininko gaunami paskolos pinigų srautai išliktų nepakitę;
47.2. palūkanų normos kreivės riziką: ši rizika kyla, kai keičiasi palūkanų normos kreivės forma ir (arba) nuolydis. Šie pokyčiai daro įtaką ekonominei vyriausybės obligacijų vertei ir palūkanų pajamoms, gaunamoms iš vyriausybės obligacijų;
48. Bankas, vertindamas palūkanų normos riziką, gali naudoti tokius vidinius limitus:
48.4. minimalų pajamų duodančio turto ir su išlaidomis susijusių įsipareigojimų palūkanų normų skirtumo limitą;
49. Banko valdyba arba kitas banko valdybos paskirtas padalinys turi užtikrinti, kad banke veiks tokia aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo ir kontrolės sistema bei procedūros, kad:
49.2. būtų aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonė (angl. soft limits);
49.3. būtų aiškiai nustatyta, ar į limitus bus atsižvelgiama ir (ar) jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą vykdyti konkretų sandorį arba jo nevykdyti, ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);
49.4. bankas galėtų reguliariai įvertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;
49.5. būtų aiškiai nustatyti veiksmai, kaip bus elgiamasi, jei bus viršyti konkretūs limitai, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;
49.6. būtų galima, jei reikia, patikslinti esamus arba pradėti taikyti naujus limitus ir (arba) kitus apribojimus;
49.7. reikalauti, kad būtų reguliariai pateikiama informacija apie vidinių limitų viršijimo atvejus.
Punkto pakeitimai:
Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117
50. Banke turi veikti tinkama vadovų informavimo sistema, t. y.:
50.1. Jeigu yra reikšmingų su palūkanų normos rizika susijusių pokyčių tikimybė, apie šiuos tikėtinus pokyčius turi būti informuojama nedelsiant.
50.2. Banko valdyba (arba kitas banko valdybos paskirtas padalinys) turi periodiškai stebėti palūkanų normos lygį ir valdymą bei laiku gauti informaciją, kuri būtų pakankamai išsami ir leistų įvertinti tiek pagrindiniams banko portfeliams, tiek bendrai visam bankui kylančią palūkanų normos riziką.
51. Banke turi būti reguliariai vertinamas limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumas. Patikimumo vertinimo proceso metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai turi būti aprašyti dokumentuose.
VI. ATSISKAITYMŲ RIZIKOS VALDYMAS
53. Bankas turi turėti atsiskaitymų rizikos vertinimo sistemą:
53.1. Bankas turi įrodyti, kad vertindamas skirtingų finansinių priemonių atsiskaitymų riziką atsižvelgia į įvairius atsiskaitymų proceso etapus, t. y.:
VII. LIKVIDUMO RIZIKOS VALDYMAS
54. Banko valdyba turi užtikrinti, kad likvidumo rizikos valdymo politika atitiktų banko rizikos lygį, rizikos reikšmę finansų sistemai ir banko veiklą. Banko valdyba įvertina riziką, susijusią su turto ir įsipareigojimų terminų pakeitimu, ir užtikrina, kad palaikomas atitinkamas finansavimo lygis. Strategijoje, politikoje ir praktikoje atsižvelgiama į banko veiklą įprastomis ir nepalankiomis sąlygomis. Su likvidumo politikos nuostatomis supažindinami visi su likvidumo rizikos valdymu susiję banko darbuotojai. Šią politiką patvirtina ir reguliariai peržiūri banko valdyba. Likvidumo rizikos valdymo politikoje numatoma:
54.9. finansavimo šaltinių diversifikavimas pagal finansines priemones, lėšų skolintojus, geografines sritis ir pan.;
54.12. likvidumo atsargos ir likvidumo atsvaros pajėgumo nustatymo tvarka;
Punkto pakeitimai:
Nr. 03-111, 2022-07-14, paskelbta TAR 2022-07-18, i. k. 2022-15690
54.13. kasdienis padengimo likvidžiuoju turtu rodiklio skaičiavimas;
Papildyta papunkčiu:
Nr. 03-111, 2022-07-14, paskelbta TAR 2022-07-18, i. k. 2022-15690
54.14. minimalaus išgyvenimo nepalankiausiomis sąlygomis laikotarpio nustatymas. Rekomenduojamas ne trumpesnis nei 6 mėnesiai išgyvenimo nepalankiausiomis sąlygomis laikotarpis.
Papildyta papunkčiu:
Nr. 03-111, 2022-07-14, paskelbta TAR 2022-07-18, i. k. 2022-15690
Punkto pakeitimai:
Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117
55. Banko organizacinė struktūra turi būti tokia, kad bankas galėtų veiksmingai valdyti likvidumo riziką, vykdyti nustatytą likvidumo rizikos valdymo strategiją, t. y. turi būti užtikrintas tinkamas funkcijų atskyrimas, siekiant išvengti interesų konflikto, ir veiksminga vidaus kontrolės sistema.
56. Banke turi veikti tinkama vadovų informavimo sistema:
56.1. Jeigu yra reikšmingų pokyčių tikimybė esamoje arba būsimoje banko likvidumo situacijoje, apie šiuos pokyčius turi būti informuojama nedelsiant.
56.2. Banko valdyba (arba kitas banko valdybos paskirtas padalinys) turi periodiškai stebėti likvidumo rizikos lygį ir valdymą bei laiku gauti informaciją, kuri būtų pakankamai išsami ir leistų įvertinti tiek pagrindiniams banko portfeliams, tiek bendrai visam bankui kylančią likvidumo riziką.
56.3. Kai banke yra, jo nuomone, reikšminga tam tikros rūšies likvidaus turto arba einamųjų įsipareigojimų koncentracija arba kai yra prielaidų reikšmingiems šio turto ir (arba) įsipareigojimų sudėties pokyčiams, informacija apie tokį turtą ir (arba) įsipareigojimus banko valdybai arba kitam banko valdybos paskirtam padaliniui turi būti pateikiama dažniau.
57. Banko valdyba arba kitas banko valdybos paskirtas padalinys turi užtikrinti, kad:
57.1. likvidumo rizika bus veiksmingai valdoma, likvidumo rizikos valdymo politika (politikos) ir procesai atitiks banko prisiimamos likvidumo rizikos lygį, atsižvelgus į esamą ir numatomą ateityje veiklą. Banke turi būti taikomi bent keletas limitų, kurie tinkamai apribotų riziką. Bankas gali taikyti:
57.1.1. limitą įeinančių ir išeinančių piniginių srautų skirtumui nesutampant tam tikro periodo kaupiamajam pinigų srautui (t. y. esant likvidumo skirtumui). Kaupiamasis grynojo finansavimo (likvidumo) poreikis (angl. net financing (liquidity) requirements) gali būti išreiškiamas procentais nuo visų įsipareigojimų. Šis nesutapimas turėtų būti vertinamas konservatyviai, atsižvelgus į galimą kainos svyravimą ir kainos mažėjimą, jei pardavimas yra priverstinis, bei į kt. veiksnius;
57.1.3. banko einamųjų įsipareigojimų ir likvidžių lėšų skirtumo bei viso banko turto ir likvidžių lėšų skirtumo santykį;
57.1.4. lėšų banko korespondentinėse sąskaitose ir įsipareigojimų bankams korespondentams skirtumo limitus;
57.2. banke veiktų tokia aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo ir kontrolės sistema ir procedūros, kad:
57.2.2. būtų aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonės (angl. soft limits);
57.2.3. būtų aiškiai nustatyta, ar į limitus bus atsižvelgiama ir jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą vykdyti arba nevykdyti konkretų sandorį, ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);
57.2.4. bankas galėtų reguliariai vertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;
57.2.5. būtų aiškiai nustatyta, kaip bus elgiamasi viršijus konkrečius limitus, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;
57.2.6. būtų galima, jei reikia, patikslinti esamus arba pradėti taikyti naujus limitus ir (arba) kitus apribojimus;
57.3. banko vidaus metodikos apimtų likvidumo rizikos nustatymą, vertinimą, stebėseną ribojimą ir likvidumo rizikos mažinimo priemones, tokias kaip finansavimo šaltinių diversifikavimas ir pan.;
57.4. būtų atliekamas reguliarus naudojamų metodikų, nurodytų 57.3 punkte, patikimumo vertinimas. Patikimumo vertinimo proceso metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai aprašomi dokumentuose. Apie patikimumo vertinimo rezultatus reguliariai informuojama banko valdyba. Bankas turi reguliariai:
57.4.2. tikrinti, ar taikant vidaus metodiką (metodikas), atsižvelgiama į visus reikšmingus įeinančius ir išeinančius pinigų srautus, įskaitant ir pinigų srautus, atsirandančius dėl nebalansinių straipsnių;
57.4.3. tikrinti, ar naudojama metodika (metodikos) tinka, atsižvelgus į banko prisiimtos rizikos pobūdį ir mastą;
58. Rekomenduojama, kad banke būtų parengtas ir vidaus dokumentuose (tvarkose) aprašytas tinkamas vidaus likvidumo rizikos įkainojimo ir paskirstymo mechanizmas, t. y. kad su likvidumo rizikos valdymu susijusios išlaidos būtų tinkamai paskirstytos tarp verslo linijų (struktūrinių padalinių) pagal likvidumo poreikį, atsižvelgus į likvidumo rizikos valdymo politiką.
59. Banke turi būti nuolat vertinamas ir stebimas grynojo finansavimo (likvidumo) poreikis, pvz., gali būti:
59.1. svarstomi keli alternatyvūs likvidumo scenarijai. Bankas gali nagrinėti tikėtiną skirtingų scenarijų įtaką likvidumui ir pagal tai nustatyti 57.1 punkte minimus limitus;
60. Turi būti aiškiai apibrėžtas banko finansavimo ištikus likvidumo krizei procesas, jei šį finansavimą numatyta gauti iš globojančių (patronuojančių) bankų.
61. Bankas turi vertinti bendrą likvidumą pagal visas pozicijas užsienio valiuta, taip pat turi turėti ir savo pozicijų pagal atskiras konkrečias valiutas vertinimo, stebėjimo ir kontrolės sistemą. Bankas gali nustatyti ir reguliariai peržiūrėti bendrus pinigų srautų nesutapimo (likvidumo skirtumo) limitus pagal visas pozicijas užsienio valiuta ir atskirai pagal kiekvieną konkrečią užsienio valiutą.
VIII. KONCENTRACIJOS RIZIKOS VALDYMAS
63. Bankas turi turėti koncentracijos rizikos valdymo politiką, kurią tvirtina ir reguliariai peržiūri banko valdyba arba banko valdybos paskirtas padalinys.
64. Koncentracijos rizika valdoma vadovaujantis proporcingumo principu, t. y. atsižvelgus į banko veiklos mastą ir pobūdį, prisiimamą riziką ir atliekamas operacijas.
65. Valdant koncentracijos riziką atsižvelgiama į ekonominės aplinkos pokyčius, taip pat vertinama tų pokyčių įtaka (ypač kritinėmis situacijomis) koncentracijos rizikos lygiui.
66. Koncentracijos rizikos valdymas turi būti neatsiejama banko vidaus kapitalo pakankamumo vertinimo proceso (angl. Internal Capital Adequacy Assessment Process, ICAAP) dalis.
67. Užtikrindama koncentracijos rizikos valdymą banke banko valdyba arba banko valdybos paskirtas padalinys:
67.1. tvirtina koncentracijos rizikos (įskaitant koncentracijos riziką sukeliančius veiksnius) nustatymo, vertinimo, stebėjimo ir atskaitomybės procedūras;
67.2. nustato aiškias darbuotojų, įtrauktų į koncentracijos rizikos valdymo procesą, atsakomybės ribas, taip pat užtikrina tinkamą funkcijų atskyrimą siekiant išvengti interesų konflikto;
67.3. užtikrina, kad valdymas apima visas su koncentracijos rizika susijusias balansines ir nebalansines pozicijas;
67.4. užtikrina, kad banke reguliariai atliekama visų svarbiausių su koncentracijos rizika susijusių pozicijų faktinių charakteristikų (pvz., pelningumo, mokėjimo terminų pradelsimo, skolininkų rizikingumo) analizė;
67.5. nustato bankui reikšmingus koncentracijos rizikos šaltinius, t. y. tuos, kuriuos stebės ir kontroliuos, ir apibrėžia, kaip jie bus matuojami, kokie koncentracijos rizikos vertinimo metodai bus taikomi;
67.6. tvirtina koncentracijos rizikos testavimo nepalankiausiomis sąlygomis procedūras, vadovaudamasi Testavimo nepalankiausiomis sąlygomis bendrosiomis nuostatomis, patvirtintomis Lietuvos banko valdybos 2007 m. spalio 11 d. nutarimu Nr. 133 (Žin., 2007, Nr. 109-4486), ir kitas koncentracijos rizikos valdymo priemones, pvz., su pozicijomis susijusios rizikos perleidimas trečiosioms šalims (kredito išvestinės finansinės priemonės, užtikrinimo priemonės, garantijos, pakeitimas vertybiniais popieriais); vidaus kapitalo dalies, skirtos koncentracijos rizikai padengti, padidinimas; tam tikro skaičiaus didžiausių individualių banko pozicijų vertės ir banko kapitalo, turto, grynojo pelno arba kito rodiklio santykio procentinio limito nustatymas; tam tikro skaičiaus didžiausių banko pozicijų susijusiems skolininkams vertės ir banko kapitalo, turto, grynojo pelno arba kito rodiklio santykio procentinio limito nustatymas; Herfindahl-Hirschmann indekso (HHI) taikymas; Gini koeficiento metodas; modeliais pagrįsti metodai ir kitos priemonės;
67.7. užtikrina koncentracijos rizikos valdymą dviem lygiais:
67.7.1. koncentracijos rizikos kitų rizikos rūšių viduje (angl. intra-risk concentrations) valdymą. Koncentracijos rizika kitų rizikos rūšių viduje – tikimybė, kad rizikos koncentracijos lygis tam tikros rūšies rizikos (pvz., kredito, prekybos knygoje įvardijamos rizikos) viduje gali būti pakankamai aukštas, kad sukeltų bankui nepageidaujamų nuostolių dėl tos rūšies rizikos pozicijų tarpusavio sąveikos;
67.7.2. koncentracijos rizikos tarp skirtingų rizikos rūšių (angl. inter-risk concentrations) valdymą. Koncentracijos rizika tarp skirtingų rizikos rūšių – tikimybė, kad rizikos koncentracijos lygis tarp skirtingų rizikos rūšių (pvz., kredito ir likvidumo rizikos, prekybos knygoje įvardijamos ir likvidumo rizikos) gali būti pakankamai aukštas, kad sukeltų bankui nepageidaujamų nuostolių dėl skirtingos rizikos pozicijų tarpusavio sąveikos;
67.8. užtikrindama koncentracijos rizikos kitų rizikos rūšių viduje valdymą tvirtina metodologiją, kuria vadovaudamiesi atsakingų banko padalinių darbuotojai galėtų:
67.8.1. atsižvelgus į kredito rizikos koncentracijos lygį vertinti kredito rizikos koncentraciją pagal tam tikrus klientus, produktus, ekonominės veiklos sektorius arba geografinį pozicijų išsidėstymą. Atlikdami šį vertinimą, atsakingų banko padalinių darbuotojai stebi ir testuoja dideles pozicijas, susijusių skolininkų pozicijas, pozicijas tuose pačiuose ekonominės veiklos sektoriuose, geografiniuose regionuose, pozicijas, susidariusias dėl panašios veiklos arba biržos prekių, pozicijas, susidariusias dėl kredito rizikos mažinimo priemonių, taip pat dideles netiesiogines pozicijas, pvz., didelės pozicijos, susidariusios dėl užtikrinimo priemonių teikimo iš vieno teikėjo;
67.8.2. atsižvelgus į prekybos knygoje įvardijamos rizikos koncentracijos lygį vertinti šios rizikos koncentraciją, kad būtų nustatytos pozicijų ta pačia valiuta koreliacijos, pozicijų palūkanų normų koreliacijos, pozicijų, susidariusių dėl tų pačių biržos prekių, koreliacijos, prekybai laikomų pozicijų ir bankinės knygos pozicijų koreliacijos, koreliacijų įtaka prisiimamos banko prekybos knygoje įvardijamos rizikos lygiui ir atitinkamų portfelių vertei. Be to, jeigu banko veikloje taikomi rizikos vertės (angl. Value-at-risk, VaR) modeliai, atsakingų banko padalinių darbuotojai stebi ir vertina atitinkamas pozicijas ir joms nustatytus limitus, siekdami išvengti per didelės koncentracijos pagal šias pozicijas;
67.8.3. atsižvelgus į operacinės rizikos koncentracijos lygį vertinti operacinės rizikos koncentraciją pagal pozicijas, susidariusias dėl tam tikrų rizikos mažinimo priemonių taikymo, banko priklausomybės nuo tam tikro informacinių technologijų paslaugų teikėjo, tam tikro draudimo paslaugų teikėjo, nuo tų pačių verslo procesų. Taip pat vertinamas pozicijų pažeidžiamumas dėl sukčiavimo, technologinių ir panašių sutrikimų, kitų su žmogiškuoju faktoriumi susijusių veiksnių koreliacijos;
67.8.4. atsižvelgus į likvidumo rizikos koncentracijos lygį vertinti likvidumo rizikos koncentraciją pagal turto ir įsipareigojimų struktūrą, finansavimo rūšis, tarpbankinės rinkos veiksnių koreliaciją, iš nebalansinių straipsnių kylančius likvidumo poreikius, lėšų šaltinius, pozicijų terminų neatitikimus;
67.9. užtikrindama koncentracijos rizikos tarp skirtingų rizikos rūšių valdymą, tvirtina metodologiją, kuria vadovaudamiesi atsakingų banko padalinių darbuotojai galėtų valdyti koncentracijos lygį vertindami:
67.9.1. kredito rizikos ir likvidumo rizikos koreliaciją, atsižvelgus į tai, kad skolininko finansinės būklės pablogėjimas gali turėti neigiamą įtaką banko pinigų srautams ir atitinkamai banko gebėjimui laiku vykdyti įsipareigojimus;
67.9.2. prekybos knygoje įvardijamos rizikos ir likvidumo rizikos koreliaciją, atsižvelgus į tai, kad tokių rinkos kintamųjų, kaip valiutų kursai, palūkanų normos, biržos prekių kainos ir kitų, svyravimai, taip pat sandorio šalies finansinė būklė, atsiskaitymų rizikos veiksniai, didelės pozicijos prekybos knygoje gali turėti neigiamą įtaką banko gebėjimui laiku vykdyti įsipareigojimus;
67.9.3. prekybos knygoje įvardijamos rizikos ir kredito rizikos koreliaciją, atsižvelgus į tai, kad tokių rinkos kintamųjų, kaip valiutų kursai, palūkanų normos, biržos prekių kainos ir kitų, svyravimai, taip pat sandorio šalies finansinė būklė, atsiskaitymų rizikos veiksniai, didelės pozicijos prekybos knygoje gali turėti neigiamą įtaką banko veiklos rezultatams;
67.9.4. operacinės rizikos ir kredito rizikos koreliaciją, atsižvelgus į tai, kad operacinės rizikos įvykiai, susiję su sukčiavimu, darbo sauga, žala fiziniam turtui, verslo sutrikdymu ir sistemų trikdžiais, taip pat kredito rizikos mažinimo priemonių (pvz., draudimo) taikymas ir kredito rizikos mažinimo priemonių teikėjo kreditingumas gali turėti neigiamą įtaką banko veiklos rezultatams;
67.10. užtikrina, kad banke veiks aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo, kontrolės sistema ir procedūros (toliau – limitų sistema), kurios atitiks šiuos reikalavimus:
67.10.1. limitų sistema turi riboti banko prisiimamos rizikos lygį ir apimti reikšmingas koncentracijos rizikos veiksnių koreliacijas;
67.10.2. limitų sistema tvirtinama tiek individualiai banke, tiek konsoliduotoje banko grupėje, apimant balansines ir nebalansines pozicijas;
67.10.3. nustatant limitus naudojami rodikliai nuosekliai taikomi ir kitoje banko veikloje, pvz., šie rodikliai suderinami su rodikliais, naudojamais priimant sprendimą suteikti poziciją (nesuteikti pozicijos);
67.10.4. taikant limitų sistemą aiškiai nustatoma, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonės (angl. soft limits);
67.10.5. taikant limitų sistemą aiškiai nustatoma, ar į limitus bus atsižvelgiama ir jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą suteikti poziciją arba nesuteikti pozicijos, ar bus atliekama vėlesnė limitų laikymosi stebėsena (angl. ex-post monitoring);
67.10.6. limitų sistema organizuojama taip, kad bankas galėtų reguliariai vertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;
67.10.7. limitų sistemoje aiškiai numatoma, kaip bus elgiamasi, jei viršijami konkretūs limitai, ir apibrėžiama su tuo susijusių darbuotojų atsakomybė;
671. Banke reguliariai vertinamas limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumas. Patikimumo vertinimo metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai aprašomi dokumentuose.
672. Banke turi būti tinkamai organizuota valdymo organų informavimo sistema, t. y. banko vadovams turi būti suteikta galimybė nuolat stebėti koncentracijos rizikos lygį ir laiku priimti tinkamus su koncentracijos rizikos valdymu susijusius sprendimus. Banko vadovai laiku, patikimai ir pakankamai išsamiai informuojami apie limitų struktūrą (kokie limitai nustatomi ir kokio yra dydžio, atsižvelgus į su koncentracijos rizika susijusių pozicijų atsiradimą konkrečiose verslo linijose, tam tikruose geografiniuose regionuose, ekonomikos sektoriuose, pagal tam tikrus verslo subjektus); koncentracijos rizikos lygį; limitų laikymąsi ir viršijimą; kokių priemonių imtasi siekiant išvengti limitų viršijimo arba, jeigu limitų viršijimas jau nustatytas, kokių priemonių imtasi, kad jis būtų pašalintas; kiekybinius ir kokybinius koncentracijos rizikos rodiklius dviem lygiais, aprašytais šių Nuostatų 67.7 punkte; reikšmingus koncentracijos riziką sukeliančius veiksnius ir priemones, kurių imtasi siekiant sumažinti šią riziką; banko nustatytų limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumo vertinimą.
Skyriaus pakeitimai:
Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117
IX. OPERACINĖS RIZIKOS VALDYMAS
68. Banko valdyba privalo užtikrinti, kad banke bus sukurta veiksminga operacinės rizikos valdymo sistema, apimanti operacinės rizikos, kurią bankas prisiima arba gali prisiimti, prisiėmimo, vertinimo, stebėjimo, kontrolės ir rizikos mažinimo procesus bei priemones. Operacinės rizikos valdymas banke vykdomas vadovaujantis banko valdybos patvirtinta operacinės rizikos valdymo politika, kuri reguliariai peržiūrima. Ši politika turi apimti operacinės rizikos, kurią bankas prisiima arba gali prisiimti, prisiėmimo, vertinimo, stebėjimo, kontrolės ir rizikos mažinimo procesus bei priemones.
69. Bankas įvertina operacinę riziką, būdingą visiems produktams, veiklai, procesams ir sistemoms, kurie bankui reikšmingi ir įtraukiami į operacinės rizikos valdymo sistemą, įskaitant tokias sritis, kaip banko veiklą papildančių paslaugų pirkimas (angl. outsourcing), naujo produkto (paslaugos) įdiegimas, banko informacinių sistemų funkcionavimas, prekyba (angl. market-related activities).
Punkto pakeitimai:
Nr. 03-31, 2011-03-15, Žin., 2011, Nr. 35-1698 (2011-03-24), i. k. 111505ANUTA00003-31
70. Banke turi būti įdiegta veiksminga vadovų informavimo sistema, užtikrinanti, kad banko valdyba reguliariai informuojama apie pagrindinius operacinės rizikos, kaip atskiros rizikos rūšies, aspektus. Banke turi būti aiškiai nustatytos sprendimų priėmimo procedūros, atsižvelgus į vadovams pateiktą informaciją apie operacinės rizikos lygį ir valdymą.
71. Banko valdyba privalo užtikrinti, kad banko vidaus kontrolė apims tokius operacinės rizikos valdymo klausimus, kaip operacinės rizikos šaltinių nustatymas, vertinimas bei stebėjimas, pasirinktų operacinės rizikos valdymo metodų tinkamumo bei pagrįstumo vertinimas, istorinių duomenų apie operacinę riziką kaupimo proceso vertinimas, ir kitus banko požiūriu svarbius klausimus.
72. Vidaus kontrolės sistemoje vertinami šie pagrindiniai operacinės rizikos šaltiniai:
72.1. informacinės sistemos (techninės ir programinės įrangos, telekomunikacinių sistemų sutrikimai ir kt.);
72.2. žmogiškojo veiksnio įtaka:
72.2.1. neteisėti banko darbuotojų veiksmai (pvz., sąmoningai pateikiama neteisinga informacija; piktnaudžiavimas suteiktais įgaliojimais; vagystė; prekyba, pasinaudojus banko vidaus informacija; neteisėtos išmokos darbuotojams; netinkamai naudojama konfidenciali informacija; pinigų plovimas; draudžiamų paslaugų teikimas ir kt.);
72.2.2. ne banko darbuotojų neteisėti veiksmai (plėšimas, klastojimas, įsilaužimas į kompiuterines sistemas ir kt.);
74. Bankas privalo kaupti istorinius duomenis apie operacinę riziką ir jų nulemtus nuostolius (visų pirma apie tokius banko patirtus nuostolius, kurie pagal banko patvirtintoje operacinės rizikos valdymo politikoje nustatytus kriterijus laikomi reikšmingais) bei užtikrinti šių duomenų kokybę. Kaupiami duomenys turi apimti bent jau tokias svarbiausias nuostolio įvykio charakteristikas, kaip įvykio data, trumpas įvykio apibūdinimas, įvykį lėmusios priežastys ir sąryšis su kitomis rizikos rūšimis (pvz., su kredito ir rinkos rizika), nuostolio dydis, banko priimti sprendimai ir įdiegtos prevencinės priemonės siekiant išvengti panašaus įvykio pasikartojimo ateityje.
75. Banko valdyba turi užtikrinti tinkamas sąlygas, kad būtų veiksmingai atliktas operacinės rizikos valdymo vidaus auditas, kurio mastas ir periodiškumas atitiktų banko operacinės rizikos lygį. Banko vidaus audito padalinys nėra tiesiogiai atsakingas už operacinės rizikos valdymą.
76. Vadovaujantis banko valdybos patvirtinta operacinės rizikos valdymo politika, banke turi būti nustatytos aiškios banko darbuotojų atsakomybės ribos, konkrečios reikšmingų banko veiklos sričių operacinės rizikos kontrolės procedūros ir limitai, kurie, atsižvelgus į rizikos lygį, periodiškai peržiūrimi ir prireikus tikslinami.
77. Banke turi būti parengti nepaprastosios padėties ir veiklos tęstinumo planai siekiant užtikrinti nepertraukiamą banko veiklą ir apriboti nuostolius, jei būtų rimtų veiklos sutrikimų. Planai periodiškai testuojami siekiant įsitikinti, ar jie veiksmingi susidarius kritinei situacijai banke. Bendras veiksmų nenumatytomis aplinkybėmis planas peržiūrimas ir atnaujinamas, atsižvelgiant į verslo aplinkos, rinkos, produktų ir informacinių sistemų pokyčius.
78. Bankas turi turėti būtiną kompetenciją, siekdamas užtikrinti veiksmingą banko veiklą papildančių paslaugų kontrolę ir su šių paslaugų pirkimu susijusios rizikos valdymą, atsižvelgus į Banko veiklą papildančių paslaugų pirkimo taisykles, patvirtintas Lietuvos banko valdybos 2004 m. birželio 10 d. nutarimu Nr. 99 (Žin., 2004 Nr. 98-3688).
79. Bankas turi įvertinti tokius pagrindinius rizikos aspektus, susijusius su banko veiklą papildančių paslaugų teikimu:
79.1. strateginę riziką (pvz., tikimybė, kad banko veiklą papildančių paslaugų teikėjo savarankiška veikla nesuderinama su banko strateginiais tikslais; neužtikrinama banko teisė tinkamai kontroliuoti paslaugų teikimo procesą ir pan.);
79.2. reputacijos riziką (pvz., prasta banko veiklą papildančių paslaugų teikėjo paslaugų kokybė; sąveika su klientais neatitinka banko taikomų standartų ir pan.);
79.3. operacinę riziką (pvz., technologijų sutrikimai; nepakankamas banko veiklą papildančių paslaugų teikėjo finansinis pajėgumas tinkamai vykdyti prisiimtus įsipareigojimus; klaidos ir sukčiavimo atvejai ir pan.);
79.4. teisinę riziką (pvz., tikimybė, kad banko veiklą papildančių paslaugų teikėjas gali nesilaikyti įstatymų ir kitų teisės aktų reikalavimų; neįdiegtos tinkamos kontrolės priemonės ir pan.);
79.5. pasitraukimo strategijos riziką (pvz., bankas nėra numatęs alternatyvių paslaugų teikimo būdų tuo atveju, jei esamas paslaugų teikėjas nesugebėtų užtikrinti veiklos tęstinumo);
79.6. šalies riziką (pvz., tikimybė, kad atsiranda papildoma rizika dėl politinės ir teisinės aplinkos skirtumų, kai paslaugų teikėjas veikia kitoje šalyje; sudėtingesnis veiklos tęstinumo planavimas ir pan.);
80. Jei bankas nusprendžia įdiegti naują produktą arba finansinę paslaugą, pakeisti esamą produktą arba jų derinį, vidaus kontrolės sistema turi užtikrinti, kad:
80.1. bus atliekama išsami išankstinė tam produktui būdingos rizikos analizė, ypač tada, kai bankas neturi to verslo veiklos patirties;
80.2. bus įdiegtos tinkamos naujo produkto rizikos vertinimo, limitų nustatymo ir kontrolės procedūros;
81. Diegiant naują produktą turi būti numatyta:
81.4. procesų, susijusių su nauju produktu, patikrinimas (rinkodara, vartotojų nustatymas, pardavimas, produkto sukūrimas, atsiskaitymas ir mokėjimas);
82. Banko valdyba turi užtikrinti, kad banke įdiegtos tinkamai parengtos informacinių technologijų (toliau – IT) sistemos, atitinkančios banko veiklos pobūdį ir operacijų mastą.
83. Siekiant užtikrinti nenutrūkstamą ir veiksmingą IT sistemų funkcionavimą bei sumažinti operacinę riziką, susijusią su banko IT sistemomis, banko valdybos nustatyta tvarka ir periodiškumu įvertinamos šios IT sistemų kontrolės ir saugumo užtikrinimo priemonės:
83.1. administracinės ir organizacinės vidaus kontrolės priemonės (IT organizacinė struktūra, IT veiklą reglamentuojanti politika, standartai, procedūros ir pan.);
83.2. techninės ir programinės įrangos apsaugos priemonės (priešgaisrinė apsauga, fizinis saugumas, priemonės veiklos tęstinumui užtikrinti ekstremaliomis sąlygomis ir pan.);
83.3. informacijos apsaugos priemonės (tinkamas vidaus ir išorės vartotojų prieigos teisių administravimas, nesankcionuoto informacijos naudojimo prevencija, saugus informacijos perdavimas ir pan.);
83.4. informacijos patikimumo užtikrinimas (duomenų įvedimo kontrolė, duomenų pakeitimo arba sunaikinimo prevencija ir pan.);
84. Banke turi būti įdiegta elektroninių duomenų įrašymo, perdavimo, apdorojimo ir saugojimo vidaus kontrolė. Jei bankas perka visas arba dalį šių paslaugų iš banko veiklą papildančių paslaugų teikėjų, turi būti laikomasi 78–79 punktuose išdėstytų reikalavimų, taikomų perkant banko veiklą papildančias paslaugas.
85. Bankas turi įvertinti tokius pagrindinius rizikos aspektus, susijusius su banko IT sistemomis:
85.1. nepakankama programinės įrangos kokybė, dėl kurios, pvz., galėtų visiškai sutrikti sistemos darbas, būtų patirta reikšmingų nuostolių dėl duomenų praradimo bei sistemos vėlavimo iki būtų atkurta normali jos veikla; netiesioginių nuostolių galėtų būti patirta dėl įdiegtų nepakankamų IT programinių saugumo priemonių, lengvinančių vidaus ir išorės sukčiavimo galimybes ir kt.;
85.2. IT saugos trūkumai, pvz., neautorizuotos prieigos galimybė, laiku neatnaujinama antivirusinė programinė įranga ir pan.;
85.3. saugumo politikos trūkumai, pvz., neatsakingai saugomi slaptažodžiai, netinkamai administruojamos prieigos teisės ir pan.;
85.4. specifinių sričių IT rizika: ypač daug dėmesio turėtų būti skiriama toms verslo sritims, kuriose IT sistemų naudojimas yra ypač reikšmingas, pvz., mažmeninė bankininkystė, prekyba vertybiniais popieriais ir valiutomis;
85.5. duomenų apsaugos problemos, kurios gali lemti nuostolius įvairiose veiklos srityse, pvz., galima reputacijos rizika dėl konfidencialių klientų duomenų paviešinimo ir pan.;
86. Banko valdyba yra atsakinga, kad bankas turėtų patvirtintą IT plėtros strategiją, parengtą atsižvelgus į banko dabartinius ir numatomus ateities verslo poreikius, siekiant užtikrinti tinkamą IT sistemų sukūrimą, priežiūrą ir plėtrą.
87. Banke turi būti sukurtos ir patvirtintos IT sistemų plėtros ir kokybės kontrolės procedūros siekiant užtikrinti, kad sistemos veikia taip, kaip ir buvo planuota. Banko IT sistemos turi būti tinkamai dokumentuotos, kad būtų užtikrinama jų naudojimo ir plėtros galimybė susiklosčius nenumatytoms aplinkybėms, pvz., pasikeitus pagrindiniams darbuotojams.
88. Banke turi būti įdiegtos priemonės, mažinančios IT sistemų veiklos nutrūkimo tikimybę (pvz., dėl gaisro, vandens užliejimo, techninės įrangos gedimų), įskaitant atsarginių sistemų sukūrimą, bei apribota prieiga prie svarbiausių IT sistemų komponentų, suteikiant tokią teisę tik autorizuotiems asmenims.
881. Banko valdyba užtikrina, kad banke būtų sukurta ir išlaikoma tinkama organizacinė struktūra, vidaus kontrolė ir informavimo sistema, skirta nustatyti, įvertinti, kontroliuoti ir stebėti operacinę riziką, susijusią su prekyba, vadovaudamasi šiais principais:
881.1. banko valdyba skatina prekybos sandorius sudarančių darbuotojų profesinę kultūrą, atsakingą požiūrį į savo veiklą ir rizikos valdymą. Banke turi būti tinkamos personalo valdymo procedūros, mažinančios operacinę riziką, susijusią su prekyba neįprastomis veiklos sąlygomis, pavyzdžiui, kai reikia pavaduoti prekybos sandorius sudarantį darbuotoją arba kai darbuotojas keičia poziciją tarp prekybos sandorius sudarančio darbuotojo (angl. dealer), operacijų apskaitos, kontrolės arba informacinių technologijų veiklos sričių;
881.2. banko vadovai ir darbuotojai, vykdantys kontrolės funkcijas, turi būtinų žinių, patirties, įgaliojimus ir paskatas veiksmingai kontroliuoti prekybos sandorius sudarančių darbuotojų veiklą;
881.3. nustatant atskirų darbuotojų arba verslo padalinių, besiverčiančių prekyba, finansinius tikslus ir priimant sprendimus dėl atlygio už jų veiklos rezultatus atsižvelgiama į prisiimamą operacinę riziką, pavyzdžiui, faktinius nuostolius, patirtus dėl operacinės rizikos įvykių;
881.4. vidaus kontrolės ir informavimo sistemoje numatomos prevencinės priemonės, užkertančios kelią galimiems vidaus ir išorės sukčiavimo arba kitos įtartinos veiklos atvejams, susijusiems su banko prekybos veikla;
881.5. prekybos sandorius sudarantys darbuotojai gali inicijuoti tik tokius prekybos sandorius, kuriems sudaryti turi įgaliojimus, atsižvelgus į produktų tipą ir nustatytus limitus;
881.6. bankas iš anksto tinkamai parengia aiškius prekybos sandorių dokumentų reikalavimus, kad būtų sumažintas teisinis neapibrėžtumas ir užtikrinta, kad sudaryti sandoriai bus įvykdyti iš karto, kai tik įmanoma tai padaryti;
881.7. prekybos sandoriai dažniausiai inicijuojami ir sudaromi banko patalpose prekybos valandomis. Išimtiniai atvejai dėl prekybos sandorių sudarymo ne banko patalpose, pavyzdžiui, naudojant mobiliąsias prieigos priemones, turi būti aiškiai reglamentuoti banko vidaus taisyklėse, nurodant šių sandorių atlikimo sąlygas, operacijų registravimo tvarką ir darbuotojų, turinčių teisę sudaryti šiuos sandorius, sąrašą;
881.8. visa informacija apie pozicijas, pinigų srautus ir skaičiavimus, susijusius su prekybos sandoriu (pavyzdžiui, prekybos knygos pozicijos, pelnas ir nuostolis, santykiniai pinigų srautai), nuosekliai registruojama banko informacinėse sistemose ir apskaitos registruose;
881.9. banke įdiegiama sistema, sudaranti galimybes kontroliuoti prekybos sandorius sudarančius darbuotojus ir jų rinkos sandorio šalių tarpusavio santykius;
881.10. prekybos sandorio patvirtinimo, atsiskaitymo ir sutikrinimo procesai banke turi būti tinkamai organizuoti ir deramai atlikti;
881.11. bankas užtikrina, kad maržos užstato reikalavimas sudarant prekybos sandorius nustatomas tinkamai, o visi pasikeitimai sutikrinami su atitinkamomis prekybos knygos pozicijomis;
881.12. banko vidaus kontrolės sistema turi užtikrinti, kad su prekyba susijusios operacinės rizikos šaltiniai būtų tinkamai nustatomi, laiku peržiūrimi ir stebimi;
881.13. banke įdiegiamos kontrolės procedūros, leidžiančios nustatyti prekybos sandorio (pozicijos) nominaliąją vertę, o ne vien tik grynąją vertę, kad būtų galima deramai stebėti operacinę ir sandorio šalies riziką ir nustatyti tinkamus limitus;
881.14 banke įdiegta operacinės rizikos, susijusios su prekyba, informavimo sistema turi užtikrinti, kad banko vadovai būtų įspėjami apie atskleistas įtartinas operacijas arba reikšmingus incidentus;
881.15. bankas užtikrina, kad vidaus informaciniai pranešimai būtų kokybiški, neprieštaringi ir atitinkantys informacijos gavėjų, kuriems jie skirti, poreikius.
Papildyta punktu:
Nr. 03-31, 2011-03-15, Žin., 2011, Nr. 35-1698 (2011-03-24), i. k. 111505ANUTA00003-31
X. BAIGIAMOSIOS NUOSTATOS
Pakeitimai:
1.
Lietuvos banko valdyba, Nutarimas
Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 "Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų" pakeitimo
2.
Lietuvos banko valdyba, Nutarimas
Nr. 03-172, 2010-12-23, Žin., 2010, Nr. 156-7963 (2010-12-30), i. k. 110505ANUTA0003-172
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 "Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų" pakeitimo
3.
Lietuvos banko valdyba, Nutarimas
Nr. 03-31, 2011-03-15, Žin., 2011, Nr. 35-1698 (2011-03-24), i. k. 111505ANUTA00003-31
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 "Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų" pakeitimo
4.
Lietuvos banko valdyba, Nutarimas
Nr. 03-269, 2012-12-13, Žin., 2012, Nr. 150-7715 (2012-12-20), i. k. 112505ANUTA0003-269
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 "Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų" pakeitimo
5.
Lietuvos bankas, Nutarimas
Nr. 03-26, 2014-02-06, paskelbta TAR 2014-02-18, i. k. 2014-01745
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 „Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų“ pakeitimo
6.
Lietuvos bankas, Nutarimas
Nr. 03-341, 2014-12-23, paskelbta TAR 2014-12-30, i. k. 2014-20967
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 „Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų“ pakeitimo
7.
Lietuvos bankas, Nutarimas
Nr. 03-104, 2016-07-28, paskelbta TAR 2016-07-29, i. k. 2016-21144
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 „Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų“ papildymo
8.
Lietuvos bankas, Nutarimas
Nr. 03-86, 2017-06-05, paskelbta TAR 2017-06-06, i. k. 2017-09613
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 „Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų“ pakeitimo
9.
Lietuvos bankas, Nutarimas
Nr. 03-83, 2019-04-18, paskelbta TAR 2019-04-19, i. k. 2019-06544
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 „Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų“ pakeitimo
10.
Lietuvos bankas, Nutarimas
Nr. 03-23, 2022-02-10, paskelbta TAR 2022-02-14, i. k. 2022-02547
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 „Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų“ pakeitimo
11.
Lietuvos bankas, Nutarimas
Nr. 03-111, 2022-07-14, paskelbta TAR 2022-07-18, i. k. 2022-15690
Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 „Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų“ pakeitimo