LIETUVOS BANKO VALDYBOS
NUTARIMAS
DĖL VIDAUS KONTROLĖS IR RIZIKOS VERTINIMO (VALDYMO) ORGANIZAVIMO NUOSTATŲ
2008 m. rugsėjo 25 d. Nr. 149
Vilnius
Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo (Žin., 1994, Nr. 99-1957; 2001, Nr. 28-890) 9 straipsniu, Lietuvos banko valdyba nutaria:
2. Pripažinti netekusiais galios:
2.1. Lietuvos banko valdybos 2001 m. gruodžio 6 d. nutarimą Nr. 178 „Dėl Bendrųjų banko vidaus kontrolės organizavimo nuostatų“ (Žin., 2001, Nr. 107-3894);
2.2. Lietuvos banko valdybos 2003 m. liepos 24 d. nutarimą Nr. 74 „Dėl Operacinės rizikos valdymo banke bendrųjų nuostatų“ (Žin., 2003, Nr. 77-3568);
2.3. Lietuvos banko valdybos 1995 m. liepos 7 d. nutarimą Nr. 61 „Dėl Paskolų komiteto sudarymo ir veiklos tvarkos patvirtinimo“ (Žin., 1995, Nr. 62-1568).
PATVIRTINTA
Lietuvos banko valdybos
2008 m. rugsėjo 25 d. nutarimu Nr. 149
VIDAUS KONTROLĖS IR RIZIKOS VERTINIMO (VALDYMO) ORGANIZAVIMO NUOSTATOS
I. BENDROSIOS NUOSTATOS
1. Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatos (toliau – Nuostatos) nustato pagrindinius principus, kuriais turi vadovautis bankas, siekdamas užtikrinti, kad banko vidaus kontrolės sistema ir rizikos vertinimas (valdymas) būtų tinkamai organizuotas, veiksmingas ir užtikrintų saugią ir stabilią banko veiklą.
2. Nuostatos taikomos Lietuvos banko išduotą licenciją turintiems bankams, Centrinei kredito unijai ir mutatis mutandis kredito unijoms, Lietuvos banko išduotą licenciją turintiems užsienio valstybių bankų filialams (toliau – bankai).
3. Nuostatos mutatis mutandis taikomos banko finansinei grupei, jeigu jai taikomi Lietuvos Respublikos įstatymuose ir Lietuvos banko teisės aktuose nustatyti konsoliduotos priežiūros reikalavimai.
4. Nuostatos parengtos atsižvelgus į Bazelio bankų priežiūros komiteto išleistus dokumentus: Vidaus kontrolės sistemų bankuose struktūra (angl. Framework for Internal Control Systems in Banking Organisations); Patikimas paskolų vertinimas ir matavimas (angl. Sound credit risk assessment and valuation for loans); Palūkanų normos rizikos valdymo principai (angl. Principies for the Management and Supervision of Interest Rate Risk); Patikima likvidumo valdymo bankinėse organizacijose praktika (angl. Sound Practices for Managing Liquidity in Banking Organizations); Patikima operacinės rizikos valdymo ir priežiūros praktika (angl. Sound Practices for the Management and Supervision of Operational Risk), ir į Europos bankų priežiūros institucijų komiteto (toliau – CEBS) išleistus dokumentus: Koncentracijos rizikos valdymo techniniai aspektai pagal priežiūrinio tikrinimo procesą (angl. Technical aspects of the management of concentration risk under the supervisory review process); CEBS techninės paramos Europos Komisijai dėl likvidumo rizikos valdymo antroji dalis (angl. Second Part of CEBS' Technical Advice to the European Commission on Liquidity Risk Managament).
II. VIDAUS KONTROLĖS SISTEMA
5. Vidaus kontrolė – tai nenutrūkstamas procesas, kurio metu ir kuriam darydami įtaką banko vadovai ir kiti darbuotojai užtikrina, kad:
5.1. banko veikla, naudojant banko turtą ir kitus išteklius, bus veiksminga, bankas bus apsaugotas nuo galimų nuostolių;
5.2. finansinė ir kita informacija, naudojama tiek banko viduje, tiek priežiūros tikslais ar kitų trečiųjų asmenų, bus patikima, tinkama ir pateikiama laiku;
6. Banko veiklos vidaus kontrolę banke turi užtikrinti patikima ir tinkamai veikianti vidaus kontrolės sistema. Banko veiklos vidaus kontrolės sistemą turi sudaryti:
6.1. tinkama organizacinė struktūra, leidžianti užtikrinti funkcijų atskyrimą ir vertikalius bei horizontalius atsakomybės ryšius;
6.2. tinkama vidaus informacinė sistema, valdymo organų informavimo sistema, leidžianti laiku priimti sprendimus;
7. Veiksmingas 6.1–6.7 punktuose nurodytų vidaus kontrolės elementų funkcionavimas yra būtinas siekiant pagrindinių vidaus kontrolės tikslų.
8. Banko vidaus kontrolė turi būti organizuota vadovaujantis šiais pagrindiniais reikalavimais:
8.1. banko stebėtojų taryba užtikrina, kad banke bus veiksminga vidaus kontrolės sistema. Banko stebėtojų taryba turi pažinti ir išmanyti visas reikšmingas, su banko veikla susijusias rizikos rūšis, nustatyti bankui priimtiną rizikos mastą ir užtikrinti, kad banko valdymo organai imsis visų reikalingų priemonių, kad riziką nustatytų, įvertintų ir kontroliuotų. Banko valdymo organai atsakingi už bendros banko veiklos strategijos ir reikšmingos politikos tvirtinimą ir periodišką peržiūrą;
8.2. banko valdymo organai atsakingi už banko veiklos strategijos ir reikšmingos politikos įgyvendinimą, rizikos nustatymo, vertinimo, stebėjimo ir kontrolės bei atskaitomybės procesų tobulinimą banke, organizacinės struktūros, aiškiai nustatančios banko darbuotojų teises, pareigas ir atsakomybę, palaikymą ir užtikrinimą, kad tos pareigos bus atliekamos. Banko valdymo organai yra atsakingi ir užtikrina tinkamas procedūras, reikalingas vidaus kontrolei, stebi ir palaiko jų veiksmingumą ir pakankamumą;
8.3. banko valdymo organai turi skatinti darbuotojus laikytis griežtų etikos standartų ir sukurti visiems banko darbuotojams aplinką, pabrėžiančią vidaus kontrolės svarbą. Banko valdymo organai turi užtikrinti, kad darbuotojai turėtų tinkamą kvalifikaciją ir reputaciją, pakankamai patirties ir reikiamų įgūdžių savo pareigoms atlikti. Savo ruožtu banko darbuotojai turi įvertinti savo svarbą ir vietą vidaus kontrolės procese. Banko valdymo organai turi užtikrinti, kad banko išleistose rašytinėse veiklos procedūrose bus pabrėžta banko darbuotojo svarba ir vieta vidaus kontrolės procese ir kad su jomis bus supažindinti atitinkami banko darbuotojai;
8.4. banke veikianti informavimo sistema turi būti tinkamai reglamentuota (turi būti banko valdymo organams teikiamos informacijos registras pagal kiekvieną banko valdomą rizikos rūšį, nurodyti atsakingi asmenys, teikimo periodiškumas).
8.5. veiksminga vidaus kontrolės sistema turi užtikrinti, kad rizika, kuri gali turėti įtakos banko veiklai, yra nustatyta ir nuolat vertinama. Rizikos vertinimas turi apimti visas rizikos rūšis (kredito, rinkos, likvidumo, operacinę, teisinę, reputacijos ir kitą), su kuriomis susiduria bankas ar visa banko finansinė grupė, apimanti ir globojantį (patronuojantį) banką. Vidaus kontrolės sistema periodiškai turi būti peržiūrima siekiant tinkamai įvertinti naujas arba anksčiau nekontroliuotas rizikos rūšis;
8.6. vidaus kontrolė – neatskiriama ir nenutrūkstama banko kasdieninės veiklos dalis. Veiksminga vidaus kontrolės sistema turi užtikrinti, kad bus sukurta tinkama kontrolės struktūra, nustatytos kontrolės procedūros kiekvienu valdymo lygiu. Kontrolės procedūros turėtų apimti: ataskaitas banko valdymo organams, tinkamą banko struktūrinių padalinių (departamentų, skyrių ir pan.) veiklos kontrolę, banko turto apsaugą, nustatytų limitų laikymosi ir nukrypimų nuo jų fiksavimą ir banko valdymo organų informavimą, teisių atlikti operacijas suteikimą bei duomenų lyginimą ir tikrinimą;
8.7. viena iš veiksmingos vidaus kontrolės sistemos sąlygų – tinkamas darbuotojų funkcijų atskyrimas, t. y. turi būti vengiama interesų konfliktų. Banko valdymo organai ir atitinkamų struktūrinių padalinių vadovai turi užtikrinti, kad būtų atskirtas teisių atlikti finansines ir ūkines operacijas suteikimas, jų vykdymas, įtraukimas į apskaitą ir saugojimas. Galimos interesų konfliktų veiklos sritys turi būti nustatytos, jų skaičius sumažintas iki minimumo, jas atidžiai turi stebėti nepriklausomas asmuo, t. y. asmuo, nesusijęs su interesų konfliktų sritimis. Kiekviena darbuotojo užduotis turi būti aiški, logiška, o teisės, pareigos ir atsakomybė aptartos ir suderintos;
8.8. veiksminga vidaus kontrolės sistema reikalauja, kad banke veiktų patikimos informacinių technologijų sistemos, kurios apimtų visas reikšmingas banko veiklos sritis. Turi būti užtikrinta saugi ir nenutrūkstama šių sistemų, ypač susijusių su duomenų kaupimu, apdorojimu ir naudojimu, veikla, parengti jų veiklos tęstinumo planai ir pasiruošta įvairiems ypatingiems atvejams;
8.9. vidaus kontrolės sistema turi garantuoti patikimos ir tinkamos vidaus bei išorės informacijos, turinčios įtakos priimant sprendimus, pateikimą laiku ir tinkama forma, taip pat kad visi banko darbuotojai būtų susipažinę ir išmanytų banko politiką ir procedūras, susijusias su jų pareigomis ir atsakomybe;
8.10. banko vidaus kontrolės sistemos veiksmingumas turi būti vertinamas tiek nuolat (banko darbuotojams atliekant savo pareigas), tiek periodiškai (atliekant vidaus, išorės auditą, savęs vertinimą ar kitais pasirinktais būdais);
8.11. vidaus kontrolės sistemos vidaus auditą turi atlikti nepriklausomas banko padalinys, kuriam pavestos tokios funkcijos, turintis tinkamą kvalifikaciją ir kompetenciją. Viena iš vidaus audito funkcijų – stebėti vidaus kontrolės sistemą, tiesiogiai informuoti audito komitetą ir (arba) banko vadovus apie pastebėtus trūkumus arba pažeidimus;
III. KREDITO RIZIKOS PRISIĖMIMAS IR VALDYMAS
9. Banke turi būti įdiegta veiksminga kredito rizikos valdymo sistema, apimanti kredito rizikos valdymo strategiją, kreditavimo politiką, kredito rizikos limitų sistemą, kitas kredito rizikos valdymo priemones ir procedūras, taip pat kredito rizikos valdymo vidaus kontrolę ir vidaus auditą.
10. Bankas turi turėti patvirtintą kredito rizikos valdymo strategiją (politiką). Kredito rizikos valdymo strategijoje detalizuojami visi Vidaus kapitalo pakankamumo vertinimo proceso bendrosiose nuostatose, patvirtintose Lietuvos banko valdybos 2006 m. lapkričio 23 d. nutarimu Nr. 145 (Žin., 2006, Nr. 143-5456), minėti strategijos elementai.
11. Banko kredito rizikos valdymą reglamentuojantys dokumentai turi atitikti banko kreditavimo veiklos pobūdį ir sudėtingumą, būti suderinti su apdairia bankine praktika ir Lietuvos banko reikalavimais.
12. Visi kreditavimo produktai ir procesai turi būti tinkamai reglamentuoti ir dokumentuoti laikantis rizikos vertinimo ir vidaus kontrolės reikalavimų.
13. Atsižvelgęs į veiklos mastą, bankas turi tinkamai reglamentuoti specifinių veiklų (naujos įmonės, nekilnojamojo turto plėtros įmonės (projektai) ir pan.) kredito rizikos vertinimą.
14. Visoje banko finansinėje grupėje kreditavimo ir kredito rizikos valdymas turi būti suprantamas vienodai.
15. Bankas turi nuolat vertinti išorės aplinkos poveikį banko kreditavimo veiklai ir imtis tinkamų veiksmų, kad sumažintų neigiamą įtaką (nustatytų limitų, reikalavimų peržiūrėjimas ir pan.).
16. Banke turi būti įdiegta veiksminga vadovų informavimo sistema:
16.1. Kredito rizikos kontrolės padalinys turi reguliariai atsiskaityti banko valdybai, t. y. teikti kredito rizikos analizės ataskaitas, kuriose būtų informacija bent jau apie išorės aplinką, portfelio augimas palygintas su biudžetu, nurodytos išlaidos dėl rizikos, didžiausi įsipareigojimai, pasiskirstymas pagal ekonomines veiklos sritis, mokėjimo terminų pradelsimai, didžiausi probleminiai klientai, portfelio pasiskirstymas pagal rizikos kategorijas (rangus, rizikos grupes), rizikos kategorijų (rangų, rizikos grupių) pasikeitimai per tam tikrą laikotarpį ir pan.
16.2. Paskolų komitetas ir rizikos valdymo komitetas turi reguliariai teikti banko valdybai numatytų tikslų įgyvendinimo valdant kredito riziką ataskaitas. Šių ataskaitų turinys turi apimti bent jau prisiimto rizikos lygio, aktualios (planuojamos) rizikos struktūros, rizikos valdymo aspektus, taip pat kitus reikšmingus pokyčius ir nustatytos politikos išimtis, tobulintinas sritis ir pastangas ištaisyti nustatytus trūkumus.
17. Bankas turi turėti tinkamą kredito rizikos vertinimo sistemą, kurią naudodamas galėtų:
17.1. vertinti balansines ir nebalansines pozicijas („pozicija“ suprantama taip, kaip yra apibrėžta Kapitalo pakankamumo skaičiavimo bendrosiose nuostatose, patvirtintose Lietuvos banko valdybos 2006 m. lapkričio 9 d. nutarimu Nr. 138 (Žin., 2006 Nr. 142-5442) pagal sandorio šalis, įskaitant ir bendros susijusių asmenų pozicijos vertinimą;
17.2. naudodamas kiekybinius ir kokybinius vertinimo kriterijus nustatyti skirtingas rizikos kategorijas (rangus, rizikos grupes), kurioms priskirtų skolininkus ir (arba) pozicijas:
17.2.1. bankas turi turėti aiškius kiekvienos rizikos kategorijos (rango, rizikos grupės) apibrėžimus;
18. Vertindamas skolininkų ir (arba) pozicijų kredito riziką ir priskirdamas juos rizikos kategorijoms (rangams, rizikos grupėms), bankas turi naudoti tinkamus, aiškiai apibrėžtus ir aprašytus dokumentuose kriterijus, taip pat ir tais atvejais, kai banko kredito rizika perleidžiama kitiems asmenims dėl pakeitimo vertybiniais popieriais sandorių arba apsidraudimo. Bankas turi atsižvelgti į skolininko finansinę padėtį, jo gebėjimą grąžinti lėšas ir, kai reikia, į gautą užtikrinimo priemonę ir užtikrinimo priemonės objekto srautus. Vertindamas įmonių kredito riziką, kai pozicijos suma, banko nuomone, yra reikšminga, bankas taip pat turi įvertinti:
18.1. ekonominės veiklos srities, kuriai priklauso skolininkas, situaciją ir specifinių šios ekonominės veiklos srities rodiklių ir bendros makroekonominės situacijos rodiklių sąryšį;
18.3. skolininko nuosavybės struktūrą ir valdymą (akcininkus, vadovus, organizacinę struktūrą ir t. t.);
19. Vertindamas fizinių asmenų kredito riziką, bankas turi įvertinti:
19.3. skolininko stabilumą ir patikimumą (skolininko išsilavinimą, šeiminę padėtį, darbo trukmę dabartinėje darbovietėje, išorės ir (arba) vidaus informaciją apie skolininko mokėjimo terminų pradelsimus ir apie tai, ar skolininkas turi nuosavą gyvenamąjį plotą, ar jį nuomoja ir t. t.);
20. Jei bankas, priskirdamas skolininkus ir pozicijas rangams ar rizikos grupėms, taiko statistinius modelius, jie turi atitikti Kapitalo pakankamumo skaičiavimo bendrosiose nuostatose tokiems modeliams keliamus reikalavimus.
21. Sprendimų suteikti pozicijas (nesuteikti pozicijų) priėmimo procedūros, ypač kai tai susiję su užduočių skyrimu atitinkamiems darbuotojams, turi būti aiškiai formalizuotos, aprašytos dokumentuose ir jos turi atitikti banko charakteristikas (banko dydį, organizacinę struktūrą, veiklos pobūdį ir pan.).
22. Skolininkų priskyrimas (pakartotinis priskyrimas) rizikos kategorijoms (rangams, rizikos grupėms) turi būti tinkamai pagrįstas ir aprašytas dokumentuose. Bankas turi suteikti galimybę trečiajai šaliai, jei reikia, atkartoti skolininkų (pozicijų) priskyrimą rizikos kategorijoms (rangams, rizikos grupėms).
23. Bankas turi kaupti kiekybinę ir kokybinę informaciją, kurios pagrindu buvo priimtas sprendimas suteikti poziciją arba nesuteikti pozicijos skolininkui (ar ją persvarstyti) ir priskirti skolininką (ar poziciją) atitinkamai rizikos kategorijai (rangui, rizikos grupei). Tokia informacija kaupiama vienoje vietoje (byloje, elektroninėje laikmenoje ar pan.).
24. Prieš priimdamas sprendimą suteikti kreditą arba nesuteikti kredito (ar jį persvarstyti), bankas turi gauti pakankamai informacijos, kad galėtų visokeriopai įvertinti prašomo kredito riziką. Iš kredito gavėjo bankas turi pareikalauti tiek informacijos, kad sprendimus dėl kredito suteikimo priimantys ir kredito riziką vertinantys darbuotojai, banko paskolų komitetas, vidaus ir išorės auditoriai galėtų tinkamai įvertinti kredito riziką prieš suteikiant kreditą ir galėtų tai daryti per visą terminą, likusį iki kredito sutarties galiojimo pabaigos.
25. Turi būti gauta visa reikiama informacija tinkamai skolininko kreditingumo analizei atlikti. Jei negauta visa reikiama informacija, teigiamas sprendimas vertinamas kaip padidintos rizikos ir turi būti nustatytos tinkamos riziką mažinančios priemonės.
27. Neatitinkantys kreditavimo politikos, kitų dokumentų sandoriai gali būti patvirtinti tik pagrindus, kad minėtus sandorius būtina sudaryti. Šios pozicijos gali būti suteiktos tik nustačius papildomas kredito riziką mažinančias priemones. Banke tokie sandoriai turi būti registruojami, banko valdyba turi būti reguliariai informuojama apie tokių sandorių mastą ir įtaką kredito portfelio kokybei, laiku peržiūrimi vidaus tvarkose keliami reikalavimai.
28. Bankas turi sugebėti užtikrinti, kad susiję skolininkai bus nustatyti ir bus tinkamai įvertinta jų kredito rizika, pvz., bankas gali atskirai vienoje vietoje (vienoje byloje, laikmenoje ar pan.) kaupti minėtą informaciją apie susijusius skolininkus.
29. Kai banko kredito rizika perleidžiama dėl pakeitimo vertybiniais popieriais sandorių, bankas turi turėti tokią vidaus politiką ir procedūras, kad galėtų užtikrinti, jog suteikdamas pozicijas, kurios bus visiškai arba iš dalies pakeistos vertybiniais popieriais, vadovausis tinkamais ir aiškiai apibrėžtais vertinimo kriterijais. Turi būti aiškus pozicijų suteikimo, keitimo, atnaujinimo ir refinansavimo procesas.
30. Kai rizika kyla dėl pakeitimo vertybiniais popieriais sandorių, bankas, kuris yra tokio sandorio iniciatorius, rėmėjas arba investuotojas, turi laikytis atitinkamų procedūrų, užtikrinančių, kad vertinant ir valdant riziką bus atsižvelgiama į ekonominį sandorio turinį.
31. Rekomenduojama, kad bankas, priimdamas sprendimą suteikti poziciją arba nesuteikti pozicijos, atsižvelgtų ir į jos pelningumą, užtikrindamas, kad tiesioginių ir netiesioginių sąnaudų ir pajamų projekcijos būtų kiek įmanoma detalesnės ir kad jas atliekant būtų įtraukiamos veiklos ir finansavimo sąnaudos, rizikos premija, atsižvelgiant į skolininko riziką, ir kapitalo kompensavimo sąnaudos.
32. Rekomenduojama, kad bent kartą per pusmetį bankas atliktų paskesniąją (angl. ex-post) kredito operacijų pelningumo analizę.
33. Atsižvelgdamas į sandorio mastą, bankas turi užtikrinti, kad priimant sprendimą suteikti poziciją (nesuteikti pozicijos) dalyvautų bent du darbuotojai ir kad visa su skolininko kreditingumu susijusi informacija taip pat būtų nagrinėjama ir specialiame, nepriklausomame nuo padalinių, atsakingų už pozicijų suteikimą ar atnaujinimą, banko struktūriniame padalinyje.
34. Vidinio skolinimo atveju ir kai skolinama su banku susijusiems asmenims, bankas turi įvertinti tokių sandorių pobūdį ir jiems taikomas sąlygas, kaip tai apibrėžta Lietuvos Respublikos bankų įstatymo (Žin., 2004, Nr. 54-1832) 52–53 straipsniuose, Lietuvos Respublikos centrinės kredito unijos įstatymo (Žin., 2000, Nr. 45-1288; 2004, Nr. 61-2181) 40–43 straipsniuose.
36. Turi būti aiškiai apibrėžta ir dokumentuose aprašyta, kaip banke organizuojamas ir kontroliuojamas užtikrinimo priemonių vertinimo procesas.
37. Banko dokumentuose turi būti aprašytas banko kredito rizikos vertinimo metodų vidaus patikimumo vertinimo procesas:
37.1. bankai, priimdami sprendimą suteikti poziciją (nesuteikti pozicijos), turi reguliariai vertinti skolininkų kredito rizikos vertinimui, skolininkų ar pozicijų priskyrimui rizikos kategorijoms (rangams, rizikos grupėms), vertės sumažėjimo apskaičiavimui ar kituose su kredito rizika susijusiuose procesuose taikomų ekspertinių, statistinių arba mišrių metodų patikimumą, vadovaudamiesi, kiek tinka, Patikimumo vertinimo ir jo tikrinimo nuostatomis, patvirtintomis Lietuvos banko valdybos 2006 m. lapkričio 9 d. nutarimu Nr. 140 (Žin., 2006 Nr. 142-5444);
38. Banke turi būti sukurta tokia pavienių kreditų rizikos stebėjimo ir vertinimo sistema, kuri užtikrintų kredito sutarčių laikymosi kontrolę, skolininko finansinė būklės ir rizikos stebėjimą ir įvertinimą laiku, siekiant iš anksto nustatyti galimus probleminius kreditus, informacijos ir reikiamų dokumentų perdavimą laiku su probleminiais kreditais dirbančiam banko struktūriniam padaliniui ir pan.
39. Banko kredito rizikos valdymo (vertinimo) vidaus kontrolės sistema turi būti tokia, kad bankas turėtų:
39.1. priemonių, leidžiančių užtikrinti informacijos, naudojamos priimant sprendimą suteikti poziciją (nesuteikti pozicijos), priskiriant skolininkus arba pozicijas rizikos kategorijoms (rangams arba rizikos grupėms), apskaičiuojant vertės sumažėjimą, kapitalo pakankamumą ir kt., patikimumą ir išsamumą, teisės aktų laikymąsi;
39.2. aiškiai apibrėžtą ir dokumentuose aprašytą pozicijų peržiūros procesą, kuris nepriklauso nuo kreditavimo funkcijos:
39.2.1. bankas turi reguliariai peržiūrėti savo skolininkų kreditingumo ir pozicijų kokybę, jos pokyčius. Kai yra pradelsti mokėjimo terminai, pozicijos vertė sumažėjo, arba kai, banko nuomone, skolininko rizika arba pozicijos suma yra reikšminga, bent kartą per ketvirtį tokių peržiūrų metu bankas turi:
39.2.1.1. nustatyti, ar skolininkai (pozicijos) išlieka teisingai priskirti tam tikrai vidaus rizikos kategorijai (rangui, rizikos grupei);
39.2.1.2. jei reikia, priskirti skolininkus (pozicijas) kitai kategorijai. Skolininko (pozicijos), nurodyto (apibrėžtos) 39.2.1 punkte, rizikos kategorija (rangas, rizikos grupė) turi būti peržiūrima ir, jei reikia, atnaujinama kiekvieną kartą, kai gaunama nauja su skolininku (pozicija) susijusi informacija, tačiau ne rečiau kaip kartą per ketvirtį. Kitų skolininkų (pozicijų), nenurodytų 39.2.1 punkte, (ar reprezentatyvios jų imties) rizikos kategorija (rangas, rizikos grupė) turi būti peržiūrima ir, jei reikia, atnaujinama bent kartą per metus. Tačiau bankas turi pradėti naują priskyrimo procesą, jei gauna reikšmingos informacijos apie skolininką arba poziciją;
39.2.2. bankas turi būti parengęs ir įdiegęs detalias procedūras ir sistemas, kad galėtų stebėti savo skolininkų kreditingumo ir pozicijų kokybę bei jos pokyčius;
39.2.3. turi būti aiškiai apibrėžtas ir dokumentuose aprašytas banko valdybos, rizikos valdymo ir vidaus audito komitetų ir (arba) kitų atitinkamų su pozicijų peržiūros, skolininkų (pozicijų) priskyrimo rizikos kategorijoms (rangams, rizikos grupėms) ir vertės sumažėjimo apskaičiavimo procesais susijusių padalinių ar darbuotojų bendravimas (t. y. rašytinės politikos ir procedūros, ataskaitos vadovams, audito programos, susitikimų protokolai ir pan.).
IV. PREKYBOS KNYGOJE ĮVARDIJAMOS RIZIKOS VALDYMAS
40. Bankas turi turėti tokias savo sąskaita sudaromų sandorių stebėjimo sistemas, kad galėtų bent kartą per dieną:
40.1. registruoti prekybos knygos sandorius, apibrėžtus Kapitalo pakankamumo skaičiavimo bendrųjų nuostatų 541 punkte, apskaičiuoti rezultatus ir nustatyti pozicijas tokiu pačiu dažnumu;
41. Bankas turi užtikrinti, kad reguliariai vertins riziką, kuri jam kiltų dėl rinkos arba, jei aktualu, dėl tam tikro atskiro rinkos segmento parametrų reikšmingų pokyčių. Parametrų ir prielaidų, naudojamų vertinant riziką, pagrįstumas ir patikimumas turi būti reguliariai peržiūrimi.
42. Bankas, kuris valdydamas prekybos knygoje įvardijamą riziką taiko rizikos vertės (angl. value-at-risk) modelius, turi laikytis Kapitalo pakankamumo skaičiavimo bendrųjų nuostatų V skyriaus V skirsnio 4 dalyje pateiktų kokybinių reikalavimų, keliamų vidaus modeliams.
V. PALŪKANŲ NORMOS RIZIKOS VALDYMAS
44. Bankas turi turėti palūkanų normos rizikos vertinimo sistemą, kurią naudodamas galėtų:
44.1. įvertinti esamas ir numatomas pozicijas ir srautus, susijusius su visais sandoriais (įtraukiamais tiek į balansinius, tiek į nebalansinius banko finansinių ataskaitų straipsnius);
44.2. nustatyti įvairius skirtingus palūkanų normos riziką lemiančius veiksnius, susijusius su vykdomais sandoriais;
45. Bankas turi užtikrinti, kad reguliariai vertina riziką, kuri kiltų dėl reikšmingų rinkos parametrų pokyčių.
46. Bankas turi nustatyti tikslų su naujais produktais, sandoriais ir naujomis veiklos sritimis susijusios palūkanų normos rizikos laipsnį ir užtikrinti, kad prieš pradėdamas įgyvendinti naujas produktų, apsidraudimo arba pozicijų prisiėmimo strategijas bankas įdiegs atitinkamas procedūras ir rizikos kontrolės sistemas.
47. Bankas turi atsižvelgti į:
47.1. perkainojimo riziką: šią riziką bankas patiria, kai yra turto ir įsipareigojimų grąžinimo (fiksuotų palūkanų normų priemonės) ir kainų pokyčių terminų (kintamųjų palūkanų normų priemonės) neatitikimų. Kai finansinės priemonės yra su kintamąja palūkanų norma, bankas patiria riziką, kad šios priemonės vertė sumažės, bankui nepalankia linkme pakitus palūkanų normai, pvz., jei bankas ilgalaikę paskolą su pastovia palūkanų norma finansavo trumpalaikiu indėliu su kintančia palūkanų norma, tai, pakilus palūkanų normos lygiui ir suėjus terminui mokėti palūkanas už indėlį, bankui tektų sumokėti jų daugiau, tuo tarpu iš skolininko gaunami paskolos pinigų srautai išliktų nepakitę;
47.2. palūkanų normos kreivės riziką: ši rizika kyla, kai keičiasi palūkanų normos kreivės forma ir (arba) nuolydis. Šie pokyčiai daro įtaką ekonominei vyriausybės obligacijų vertei ir palūkanų pajamoms, gaunamoms iš vyriausybės obligacijų;
48. Bankas, vertindamas palūkanų normos riziką, gali naudoti tokius vidinius limitus:
48.4. minimalų pajamų duodančio turto ir su išlaidomis susijusių įsipareigojimų palūkanų normų skirtumo limitą;
49. Banko valdyba arba kitas banko valdybos paskirtas padalinys turi užtikrinti, kad banke veiks tokia aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo ir kontrolės sistema bei procedūros, kad:
49.2. būtų aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonė (angl. soft limits);
49.3. būtų aiškiai nustatyta, ar į limitus bus atsižvelgiama ir (ar) jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą vykdyti konkretų sandorį arba jo nevykdyti, ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);
49.4. bankas galėtų reguliariai įvertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;
49.5. būtų aiškiai nustatyti veiksmai, kaip bus elgiamasi, jei bus viršyti konkretūs limitai, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;
49.6. būtų galima, jei reikia, patikslinti esamus arba pradėti taikyti naujus limitus ir (arba) kitus apribojimus;
50. Banke turi veikti tinkama vadovų informavimo sistema, t. y.:
50.1. Jeigu yra reikšmingų su palūkanų normos rizika susijusių pokyčių tikimybė, apie šiuos tikėtinus pokyčius turi būti informuojama nedelsiant.
50.2. Banko valdyba (arba kitas banko valdybos paskirtas padalinys) turi periodiškai stebėti palūkanų normos lygį ir valdymą bei laiku gauti informaciją, kuri būtų pakankamai išsami ir leistų įvertinti tiek pagrindiniams banko portfeliams, tiek bendrai visam bankui kylančią palūkanų normos riziką.
51. Banke turi būti reguliariai vertinamas limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumas. Patikimumo vertinimo proceso metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai turi būti aprašyti dokumentuose.
VI. ATSISKAITYMŲ RIZIKOS VALDYMAS
53. Bankas turi turėti atsiskaitymų rizikos vertinimo sistemą:
53.1. Bankas turi įrodyti, kad vertindamas skirtingų finansinių priemonių atsiskaitymų riziką atsižvelgia į įvairius atsiskaitymų proceso etapus, t. y.:
VII. LIKVIDUMO RIZIKOS VALDYMAS
54. Bankas turi turėti aiškią likvidumo rizikos valdymo politiką, su kurios nuostatomis supažindinami visi su likvidumo rizikos valdymu susiję banko darbuotojai. Šią politiką (politikas) patvirtina ir reguliariai peržiūri banko valdyba. Likvidumo rizikos valdymo politikoje numatoma:
54.9. finansavimo šaltinių diversifikavimas pagal finansines priemones, lėšų skolintojus, geografines sritis ir pan.;
55. Banko organizacinė struktūra turi būti tokia, kad bankas galėtų veiksmingai valdyti likvidumo riziką, vykdyti nustatytą likvidumo rizikos valdymo strategiją, t. y. turi būti užtikrintas tinkamas funkcijų atskyrimas, siekiant išvengti interesų konflikto, ir veiksminga vidaus kontrolės sistema.
56. Banke turi veikti tinkama vadovų informavimo sistema:
56.1. Jeigu yra reikšmingų pokyčių tikimybė esamoje arba būsimoje banko likvidumo situacijoje, apie šiuos pokyčius turi būti informuojama nedelsiant.
56.2. Banko valdyba (arba kitas banko valdybos paskirtas padalinys) turi periodiškai stebėti likvidumo rizikos lygį ir valdymą bei laiku gauti informaciją, kuri būtų pakankamai išsami ir leistų įvertinti tiek pagrindiniams banko portfeliams, tiek bendrai visam bankui kylančią likvidumo riziką.
56.3. Kai banke yra, jo nuomone, reikšminga tam tikros rūšies likvidaus turto arba einamųjų įsipareigojimų koncentracija arba kai yra prielaidų reikšmingiems šio turto ir (arba) įsipareigojimų sudėties pokyčiams, informacija apie tokį turtą ir (arba) įsipareigojimus banko valdybai arba kitam banko valdybos paskirtam padaliniui turi būti pateikiama dažniau.
57. Banko valdyba arba kitas banko valdybos paskirtas padalinys turi užtikrinti, kad:
57.1. likvidumo rizika bus veiksmingai valdoma, likvidumo rizikos valdymo politika (politikos) ir procesai atitiks banko prisiimamos likvidumo rizikos lygį, atsižvelgus į esamą ir numatomą ateityje veiklą. Banke turi būti taikomi bent keletas limitų, kurie tinkamai apribotų riziką. Bankas gali taikyti:
57.1.1. limitą įeinančių ir išeinančių piniginių srautų skirtumui nesutampant tam tikro periodo kaupiamajam pinigų srautui (t. y. esant likvidumo skirtumui). Kaupiamasis grynojo finansavimo (likvidumo) poreikis (angl. net financing (liquidity) requirements) gali būti išreiškiamas procentais nuo visų įsipareigojimų. Šis nesutapimas turėtų būti vertinamas konservatyviai, atsižvelgus į galimą kainos svyravimą ir kainos mažėjimą, jei pardavimas yra priverstinis, bei į kt. veiksnius;
57.1.3. banko einamųjų įsipareigojimų ir likvidžių lėšų skirtumo bei viso banko turto ir likvidžių lėšų skirtumo santykį;
57.1.4. lėšų banko korespondentinėse sąskaitose ir įsipareigojimų bankams korespondentams skirtumo limitus;
57.2. banke veiktų tokia aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo ir kontrolės sistema ir procedūros, kad:
57.2.2. būtų aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonės (angl. soft limits);
57.2.3. būtų aiškiai nustatyta, ar į limitus bus atsižvelgiama ir jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą vykdyti arba nevykdyti konkretų sandorį, ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);
57.2.4. bankas galėtų reguliariai vertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;
57.2.5. būtų aiškiai nustatyta, kaip bus elgiamasi viršijus konkrečius limitus, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;
57.2.6. būtų galima, jei reikia, patikslinti esamus arba pradėti taikyti naujus limitus ir (arba) kitus apribojimus;
57.3. banko vidaus metodikos apimtų likvidumo rizikos nustatymą, vertinimą, stebėseną ribojimą ir likvidumo rizikos mažinimo priemones, tokias kaip finansavimo šaltinių diversifikavimas ir pan.;
57.4. būtų atliekamas reguliarus naudojamų metodikų, nurodytų 57.3 punkte, patikimumo vertinimas. Patikimumo vertinimo proceso metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai aprašomi dokumentuose. Apie patikimumo vertinimo rezultatus reguliariai informuojama banko valdyba. Bankas turi reguliariai:
57.4.2. tikrinti, ar taikant vidaus metodiką (metodikas), atsižvelgiama į visus reikšmingus įeinančius ir išeinančius pinigų srautus, įskaitant ir pinigų srautus, atsirandančius dėl nebalansinių straipsnių;
57.4.3. tikrinti, ar naudojama metodika (metodikos) tinka, atsižvelgus į banko prisiimtos rizikos pobūdį ir mastą;
58. Rekomenduojama, kad banke būtų parengtas ir vidaus dokumentuose (tvarkose) aprašytas tinkamas vidaus likvidumo rizikos įkainojimo ir paskirstymo mechanizmas, t. y. kad su likvidumo rizikos valdymu susijusios išlaidos būtų tinkamai paskirstytos tarp verslo linijų (struktūrinių padalinių) pagal likvidumo poreikį, atsižvelgus į likvidumo rizikos valdymo politiką.
59. Banke turi būti nuolat vertinamas ir stebimas grynojo finansavimo (likvidumo) poreikis, pvz., gali būti:
59.1. svarstomi keli alternatyvūs likvidumo scenarijai. Bankas gali nagrinėti tikėtiną skirtingų scenarijų įtaką likvidumui ir pagal tai nustatyti 57.1 punkte minimus limitus;
60. Turi būti aiškiai apibrėžtas banko finansavimo ištikus likvidumo krizei procesas, jei šį finansavimą numatyta gauti iš globojančių (patronuojančių) bankų.
61. Bankas turi vertinti bendrą likvidumą pagal visas pozicijas užsienio valiuta, taip pat turi turėti ir savo pozicijų pagal atskiras konkrečias valiutas vertinimo, stebėjimo ir kontrolės sistemą. Bankas gali nustatyti ir reguliariai peržiūrėti bendrus pinigų srautų nesutapimo (likvidumo skirtumo) limitus pagal visas pozicijas užsienio valiuta ir atskirai pagal kiekvieną konkrečią užsienio valiutą.
VIII. KONCENTRACIJOS RIZIKOS VALDYMAS
63. Banko valdyba arba kitas banko valdybos paskirtas padalinys turi:
63.1. užtikrinti, kad banke būtų reguliariai atliekama visų bankui aktualių koncentracijos rizikos rūšių ir pozicijų pagal konkrečias koncentracijos rūšis faktinių charakteristikų (pelningumo, mokėjimo terminų pradelsimo, skolininkų rizikingumo ir pan.) analizė;
63.2. nustatyti bankui reikšmingus koncentracijos rizikos šaltinius, t. y. tuos, kuriuos stebės ir kontroliuos, ir apibrėžti, kaip jie bus matuojami, kokie koncentracijos rizikos vertinimo metodai bus taikomi;
63.4. užtikrinti, kad banke veiktų tokia aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo, kontrolės sistema ir procedūros, kad:
63.4.1. limitams nustatyti naudojami rodikliai būtų nuosekliai naudojami ir kitoje banko veikloje, t. y. valdant koncentracijos riziką naudojami rodikliai turėtų būti suderinti su rodikliais, naudojamais priimant sprendimą suteikti poziciją (nesuteikti pozicijos);
63.4.2. būtų aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonės (angl. soft limits);
63.4.3. būtų aiškiai nustatyta, ar į limitus bus atsižvelgiama ir jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą suteikti arba nesuteikti paskolą, ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);
63.4.4. bankas galėtų reguliariai vertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;
63.4.5. būtų aiškiai nustatyta, kaip bus elgiamasi, jei bus viršyti konkretūs limitai, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;
63.5. reikalauti, kad būtų reguliariai pateikiama informacija apie banko koncentracijos rizikos lygį ir vidaus limitų viršijimą;
63.6. prireikus numatyti kitas koncentracijos rizikos valdymo priemones (pvz., su pozicijomis susijusios rizikos perleidimas trečiosioms šalims (kredito išvestinės finansinės priemonės, užtikrinimo priemonės, garantijos, pakeitimas vertybiniais popieriais), vidaus kapitalo dalies, skirtos koncentracijos rizikai padengti, padidinimas ir pan.).
64. Banko vertinama koncentracijos rizika, kiek tai reikšminga bankui, vadovaujantis 63.2 punktu, turi apimti:
64.1. kredito rizikos koncentraciją (didelės pozicijos, tos pačios ekonominės veiklos rūšies pozicijos ir pan.);
64.2. prekybos knygoje įvardijamos rizikos koncentraciją (pvz., pozicijų ta pačia valiuta koncentracija);
64.3. likvidumo rizikos koncentraciją (pvz., finansavimo teikėjų koncentracija, koncentracija tarpbankinėje rinkoje, finansavimo rūšies koncentracija);
65. Bankas turi, kiek tai reikšminga bankui, vadovaudamasis 63.2 punktu, vertinti:
65.1. Vidaus kapitalo pakankamumo vertinimo proceso bendrųjų nuostatų 30 punkte minimas koncentracijos rizikos rūšis;
66. Banko nustatyti limitai ir (arba) kiti apribojimai ir taikomi koncentracijos rizikos vertinimo metodai turi būti aprašyti dokumentuose. Vertindamas koncentracijos rizikos rūšis, bankas, atsižvelgęs į konkrečios koncentracijos rizikos rūšies specifiką, gali naudoti šiuos metodus:
66.1. nustatyti tam tikro skaičiaus (pvz., dešimties, dvidešimties) didžiausių individualių banko pozicijų vertės, palyginti su banko kapitalu, turtu, grynuoju pelnu arba kitu rodikliu, procentinį limitą;
66.2. nustatyti tam tikro skaičiaus (pvz., dešimties, dvidešimties) didžiausių banko pozicijų susijusiems skolininkams vertės, palyginti su banko kapitalu, turtu, grynuoju pelnu arba kitu rodikliu, procentinį limitą;
66.3. nustatyti visos atskirų ekonominės veiklos sričių pozicijų vertės ir tam tikro rodiklio procentinius limitus;
67. Banke reguliariai atliekamas limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumo vertinimas. Patikimumo vertinimo metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai aprašomi dokumentuose. Apie patikimumo vertinimo rezultatus reguliariai informuojami banko vadovai.
IX. OPERACINĖS RIZIKOS VALDYMAS
68. Banko valdyba privalo užtikrinti, kad banke bus sukurta veiksminga operacinės rizikos valdymo sistema, apimanti operacinės rizikos, kurią bankas prisiima arba gali prisiimti, prisiėmimo, vertinimo, stebėjimo, kontrolės ir rizikos mažinimo procesus bei priemones. Operacinės rizikos valdymas banke vykdomas vadovaujantis banko valdybos patvirtinta operacinės rizikos valdymo politika, kuri reguliariai peržiūrima. Ši politika turi apimti operacinės rizikos, kurią bankas prisiima arba gali prisiimti, prisiėmimo, vertinimo, stebėjimo, kontrolės ir rizikos mažinimo procesus bei priemones.
69. Bankas turi nustatyti ir įvertinti operacinę riziką, būdingą visiems produktams, veikloms, procesams ir sistemoms, kurie banko požiūriu yra reikšmingi ir turi būti įtraukiami į operacinės rizikos valdymo sistemą, įskaitant tokias sritis, kaip banko veiklą papildančių paslaugų pirkimas (angl. outsourcing), naujo produkto (paslaugos) įdiegimas, banko informacinių sistemų funkcionavimas ir kita.
70. Banke turi būti įdiegta veiksminga vadovų informavimo sistema, užtikrinanti, kad banko valdyba reguliariai informuojama apie pagrindinius operacinės rizikos, kaip atskiros rizikos rūšies, aspektus. Banke turi būti aiškiai nustatytos sprendimų priėmimo procedūros, atsižvelgus į vadovams pateiktą informaciją apie operacinės rizikos lygį ir valdymą.
71. Banko valdyba privalo užtikrinti, kad banko vidaus kontrolė apims tokius operacinės rizikos valdymo klausimus, kaip operacinės rizikos šaltinių nustatymas, vertinimas bei stebėjimas, pasirinktų operacinės rizikos valdymo metodų tinkamumo bei pagrįstumo vertinimas, istorinių duomenų apie operacinę riziką kaupimo proceso vertinimas, ir kitus banko požiūriu svarbius klausimus.
72. Vidaus kontrolės sistemoje vertinami šie pagrindiniai operacinės rizikos šaltiniai:
72.1. informacinės sistemos (techninės ir programinės įrangos, telekomunikacinių sistemų sutrikimai ir kt.);
72.2. žmogiškojo veiksnio įtaka:
72.2.1. neteisėti banko darbuotojų veiksmai (pvz., sąmoningai pateikiama neteisinga informacija; piktnaudžiavimas suteiktais įgaliojimais; vagystė; prekyba, pasinaudojus banko vidaus informacija; neteisėtos išmokos darbuotojams; netinkamai naudojama konfidenciali informacija; pinigų plovimas; draudžiamų paslaugų teikimas ir kt.);
72.2.2. ne banko darbuotojų neteisėti veiksmai (plėšimas, klastojimas, įsilaužimas į kompiuterines sistemas ir kt.);
74. Bankas privalo kaupti istorinius duomenis apie operacinę riziką ir jų nulemtus nuostolius (visų pirma apie tokius banko patirtus nuostolius, kurie pagal banko patvirtintoje operacinės rizikos valdymo politikoje nustatytus kriterijus laikomi reikšmingais) bei užtikrinti šių duomenų kokybę. Kaupiami duomenys turi apimti bent jau tokias svarbiausias nuostolio įvykio charakteristikas, kaip įvykio data, trumpas įvykio apibūdinimas, įvykį lėmusios priežastys ir sąryšis su kitomis rizikos rūšimis (pvz., su kredito ir rinkos rizika), nuostolio dydis, banko priimti sprendimai ir įdiegtos prevencinės priemonės siekiant išvengti panašaus įvykio pasikartojimo ateityje.
75. Banko valdyba turi užtikrinti tinkamas sąlygas, kad būtų veiksmingai atliktas operacinės rizikos valdymo vidaus auditas, kurio mastas ir periodiškumas atitiktų banko operacinės rizikos lygį. Banko vidaus audito padalinys nėra tiesiogiai atsakingas už operacinės rizikos valdymą.
76. Vadovaujantis banko valdybos patvirtinta operacinės rizikos valdymo politika, banke turi būti nustatytos aiškios banko darbuotojų atsakomybės ribos, konkrečios reikšmingų banko veiklos sričių operacinės rizikos kontrolės procedūros ir limitai, kurie, atsižvelgus į rizikos lygį, periodiškai peržiūrimi ir prireikus tikslinami.
77. Banke turi būti parengti nepaprastosios padėties ir veiklos tęstinumo planai siekiant užtikrinti nepertraukiamą banko veiklą ir apriboti nuostolius, jei būtų rimtų veiklos sutrikimų. Planai periodiškai testuojami siekiant įsitikinti, ar jie veiksmingi susidarius kritinei situacijai banke. Bendras veiksmų nenumatytomis aplinkybėmis planas peržiūrimas ir atnaujinamas, atsižvelgiant į verslo aplinkos, rinkos, produktų ir informacinių sistemų pokyčius.
78. Bankas turi turėti būtiną kompetenciją, siekdamas užtikrinti veiksmingą banko veiklą papildančių paslaugų kontrolę ir su šių paslaugų pirkimu susijusios rizikos valdymą, atsižvelgus į Banko veiklą papildančių paslaugų pirkimo taisykles, patvirtintas Lietuvos banko valdybos 2004 m. birželio 10 d. nutarimu Nr. 99 (Žin., 2004 Nr. 98-3688).
79. Bankas turi įvertinti tokius pagrindinius rizikos aspektus, susijusius su banko veiklą papildančių paslaugų teikimu:
79.1. strateginę riziką (pvz., tikimybė, kad banko veiklą papildančių paslaugų teikėjo savarankiška veikla nesuderinama su banko strateginiais tikslais; neužtikrinama banko teisė tinkamai kontroliuoti paslaugų teikimo procesą ir pan.);
79.2. reputacijos riziką (pvz., prasta banko veiklą papildančių paslaugų teikėjo paslaugų kokybė; sąveika su klientais neatitinka banko taikomų standartų ir pan.);
79.3. operacinę riziką (pvz., technologijų sutrikimai; nepakankamas banko veiklą papildančių paslaugų teikėjo finansinis pajėgumas tinkamai vykdyti prisiimtus įsipareigojimus; klaidos ir sukčiavimo atvejai ir pan.);
79.4. teisinę riziką (pvz., tikimybė, kad banko veiklą papildančių paslaugų teikėjas gali nesilaikyti įstatymų ir kitų teisės aktų reikalavimų; neįdiegtos tinkamos kontrolės priemonės ir pan.);
79.5. pasitraukimo strategijos riziką (pvz., bankas nėra numatęs alternatyvių paslaugų teikimo būdų tuo atveju, jei esamas paslaugų teikėjas nesugebėtų užtikrinti veiklos tęstinumo);
79.6. šalies riziką (pvz., tikimybė, kad atsiranda papildoma rizika dėl politinės ir teisinės aplinkos skirtumų, kai paslaugų teikėjas veikia kitoje šalyje; sudėtingesnis veiklos tęstinumo planavimas ir pan.);
80. Jei bankas nusprendžia įdiegti naują produktą arba finansinę paslaugą, pakeisti esamą produktą arba jų derinį, vidaus kontrolės sistema turi užtikrinti, kad:
80.1. bus atliekama išsami išankstinė tam produktui būdingos rizikos analizė, ypač tada, kai bankas neturi to verslo veiklos patirties;
80.2. bus įdiegtos tinkamos naujo produkto rizikos vertinimo, limitų nustatymo ir kontrolės procedūros;
81. Diegiant naują produktą turi būti numatyta:
81.4. procesų, susijusių su nauju produktu, patikrinimas (rinkodara, vartotojų nustatymas, pardavimas, produkto sukūrimas, atsiskaitymas ir mokėjimas);
82. Banko valdyba turi užtikrinti, kad banke įdiegtos tinkamai parengtos informacinių technologijų (toliau – IT) sistemos, atitinkančios banko veiklos pobūdį ir operacijų mastą.
83. Siekiant užtikrinti nenutrūkstamą ir veiksmingą IT sistemų funkcionavimą bei sumažinti operacinę riziką, susijusią su banko IT sistemomis, banko valdybos nustatyta tvarka ir periodiškumu įvertinamos šios IT sistemų kontrolės ir saugumo užtikrinimo priemonės:
83.1. administracinės ir organizacinės vidaus kontrolės priemonės (IT organizacinė struktūra, IT veiklą reglamentuojanti politika, standartai, procedūros ir pan.);
83.2. techninės ir programinės įrangos apsaugos priemonės (priešgaisrinė apsauga, fizinis saugumas, priemonės veiklos tęstinumui užtikrinti ekstremaliomis sąlygomis ir pan.);
83.3. informacijos apsaugos priemonės (tinkamas vidaus ir išorės vartotojų prieigos teisių administravimas, nesankcionuoto informacijos naudojimo prevencija, saugus informacijos perdavimas ir pan.);
83.4. informacijos patikimumo užtikrinimas (duomenų įvedimo kontrolė, duomenų pakeitimo arba sunaikinimo prevencija ir pan.);
84. Banke turi būti įdiegta elektroninių duomenų įrašymo, perdavimo, apdorojimo ir saugojimo vidaus kontrolė. Jei bankas perka visas arba dalį šių paslaugų iš banko veiklą papildančių paslaugų teikėjų, turi būti laikomasi 78–79 punktuose išdėstytų reikalavimų, taikomų perkant banko veiklą papildančias paslaugas.
85. Bankas turi įvertinti tokius pagrindinius rizikos aspektus, susijusius su banko IT sistemomis:
85.1. nepakankama programinės įrangos kokybė, dėl kurios, pvz., galėtų visiškai sutrikti sistemos darbas, būtų patirta reikšmingų nuostolių dėl duomenų praradimo bei sistemos vėlavimo iki būtų atkurta normali jos veikla; netiesioginių nuostolių galėtų būti patirta dėl įdiegtų nepakankamų IT programinių saugumo priemonių, lengvinančių vidaus ir išorės sukčiavimo galimybes ir kt.;
85.2. IT saugos trūkumai, pvz., neautorizuotos prieigos galimybė, laiku neatnaujinama antivirusinė programinė įranga ir pan.;
85.3. saugumo politikos trūkumai, pvz., neatsakingai saugomi slaptažodžiai, netinkamai administruojamos prieigos teisės ir pan.;
85.4. specifinių sričių IT rizika: ypač daug dėmesio turėtų būti skiriama toms verslo sritims, kuriose IT sistemų naudojimas yra ypač reikšmingas, pvz., mažmeninė bankininkystė, prekyba vertybiniais popieriais ir valiutomis;
85.5. duomenų apsaugos problemos, kurios gali lemti nuostolius įvairiose veiklos srityse, pvz., galima reputacijos rizika dėl konfidencialių klientų duomenų paviešinimo ir pan.;
86. Banko valdyba yra atsakinga, kad bankas turėtų patvirtintą IT plėtros strategiją, parengtą atsižvelgus į banko dabartinius ir numatomus ateities verslo poreikius, siekiant užtikrinti tinkamą IT sistemų sukūrimą, priežiūrą ir plėtrą.
87. Banke turi būti sukurtos ir patvirtintos IT sistemų plėtros ir kokybės kontrolės procedūros siekiant užtikrinti, kad sistemos veikia taip, kaip ir buvo planuota. Banko IT sistemos turi būti tinkamai dokumentuotos, kad būtų užtikrinama jų naudojimo ir plėtros galimybė susiklosčius nenumatytoms aplinkybėms, pvz., pasikeitus pagrindiniams darbuotojams.
88. Banke turi būti įdiegtos priemonės, mažinančios IT sistemų veiklos nutrūkimo tikimybę (pvz., dėl gaisro, vandens užliejimo, techninės įrangos gedimų), įskaitant atsarginių sistemų sukūrimą, bei apribota prieiga prie svarbiausių IT sistemų komponentų, suteikiant tokią teisę tik autorizuotiems asmenims.
X. BAIGIAMOSIOS NUOSTATOS