LIETUVOS BANKO VALDYBA

 

N U T A R I M A S

DĖL OPERACINĖS RIZIKOS VALDYMO BANKE BENDRŲJŲ NUOSTATŲ

 

2003 m. liepos 24 d. Nr. 74

Vilnius

 

Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo (Žin., 1994, Nr. 99-1957; 2001, Nr. 28-890) 9 straipsniu, Lietuvos banko valdyba nutaria:

1. Patvirtinti Operacinės rizikos valdymo banke bendrąsias nuostatas (pridedamos).

2. Nustatyti, kad šis nutarimas įsigalioja nuo 2003 m. gruodžio 31 d.

 

 

VALDYBOS PIRMININKO PAVADUOTOJAS

L. E. VALDYBOS PIRMININKO PAREIGAS                                       AUDRIUS MISEVIČIUS

______________

Patvirtinta

Lietuvos banko valdybos

2003 m. liepos 24 d. nutarimu Nr. 74

 

OPERACINĖS RIZIKOS VALDYMO BANKE BENDROSIOS NUOSTATOS

 

I. BENDROSIOS NUOSTATOS

 

1. Šis dokumentas parengtas atsižvelgus į Bazelio bankų priežiūros komiteto išleistus dokumentus „Nauja kapitalo sutartis“, „Patikima operacinės rizikos valdymo ir priežiūros praktika“, „Operacinės rizikos valdymo traktavimas“ ir Lietuvos Respublikos teisės aktus.

2. Šio dokumento nuostatos taikomos visiems licenciją turintiems bankams.

3. Šio dokumento tikslas – apibrėžti pagrindinius operacinės rizikos valdymo principus ir užtikrinti, kad bankai diegtų veiksmingą šios rizikos valdymo sistemą, kauptų istorinius duomenis apie operacinę riziką ir pasirengtų įgyvendinti Bazelio bankų priežiūros komiteto Naują kapitalo sutartį.

 

II. OPERACINĖS RIZIKOS ESMĖ

 

4. Operacinė rizika – tai rizika patirti nuostolių dėl netinkamų arba neįgyvendintų vidaus kontrolės procesų, darbuotojų klaidų ir (ar) neteisėtų veiksmų bei informacinių sistemų veiklos sutrikimų arba dėl išorės įvykių įtakos.

5. Pagrindiniai operacinės rizikos šaltiniai:

5.1. informacinės sistemos (techninės ir programinės įrangos, telekomunikacinių sistemų sutrikimai ir kt.);

5.2. žmogaus įtaka:

5.2.1. neteisėti veiksmai:

5.2.1.1. banko darbuotojų neteisėti veiksmai (sąmoningas neteisingos informacijos pateikimas; piktnaudžiavimas suteiktais įgaliojimais; vagystė; prekyba, pasinaudojus banko vidaus informacija; neteisėtos išmokos darbuotojams; konfidencialios informacijos netinkamas panaudojimas; pinigų plovimas; draudžiamų paslaugų teikimas ir kt.),

5.2.1.2. ne banko darbuotojų neteisėti veiksmai (plėšimas, klastojimas, įsilaužimas į kompiuterines sistemas ir kt.);

5.2.2. darbo sąlygos (saugių darbo sąlygų pažeidimas ir kt.);

5.2.3. klaidos (neteisingų duomenų įvedimas, netinkamas įkeisto turto valdymas, netinkami teisiniai dokumentai ir kt.);

5.3. materialiojo turto netekimas (stichinės nelaimės, gaisras, terorizmas ir kt.).

6. Bankas gali numatyti ir daugiau operacinės rizikos šaltinių.

 

III. OPERACINĖS RIZIKOS VALDYMO APLINKA

 

7. Atsakomybės paskirstymas. Banko valdyba privalo užtikrinti, kad banke būtų sukurta veiksminga operacinės rizikos valdymo sistema, apimanti visas reikšmingas banko veiklos sritis. Banko valdybos patvirtinta operacinės rizikos valdymo politika turi būti įtraukta į bendrą banko rizikos valdymo politiką. Banko taryba turi būti informuojama apie pagrindinius operacinės rizikos, kaip atskiros rizikos rūšies, aspektus.

8. Operacinės rizikos valdymo vidaus kontrolė. Vadovaudamasi Lietuvos banko valdybos patvirtintomis Bendrosiomis banko vidaus kontrolės organizavimo nuostatomis, banko valdyba privalo užtikrinti, kad banko vidaus kontrolė, be visų kitų sričių, apimtų ir operacinės rizikos valdymo aspektus, įskaitant operacinės rizikos šaltinių nustatymą, įvertinimą bei stebėjimą, pasirinktų operacinės rizikos valdymo metodų tinkamumo bei pagrįstumo įvertinimą, istorinių duomenų apie operacinę riziką kaupimo proceso įvertinimą ir kitus, banko nuomone, svarbius aspektus. Banko valdyba turi užtikrinti, kad vidaus kontrolė apimtų visą verslo aplinką, kurioje gali atsirasti operacinė rizika.

9. Operacinės rizikos valdymo vidaus auditas. Vadovaudamasi Lietuvos banko valdybos patvirtintomis Banko vidaus audito organizavimo bendrosiomis nuostatomis, banko valdyba turi užtikrinti tinkamas sąlygas tam, kad būtų veiksmingai atliktas išsamus operacinės rizikos valdymo vidaus auditas, kurio mastas ir periodiškumas atitiktų banko operacinės rizikos lygį. Banko vidaus audito padalinys neturi būti tiesiogiai atsakingas už operacinės rizikos valdymą.

10. Banko darbuotojų vaidmuo. Vadovaudamiesi banko valdybos patvirtinta operacinės rizikos valdymo politika ir šią politiką detalizuojančia tvarka, atsakingi banko darbuotojai turi nustatyti konkrečias reikšmingų banko veiklos sričių operacinės rizikos valdymo procedūras. Kadangi operacinės rizikos valdymo sistema diegiama visame banke, visi banko darbuotojai tiesiogiai ir (ar) netiesiogiai įtraukiami į operacinės rizikos valdymą, nustatomos aiškios jų atsakomybės ribos.

 

IV. OPERACINĖS RIZIKOS NUSTATYMO, ĮVERTINIMO, STEBĖJIMO IR KONTROLĖS PROCEDŪROS

 

11. Vadovaujantis banko operacinės rizikos valdymo politika, nustatoma ir vertinama visų reikšmingų banko veiklos sričių, procesų ir sistemų operacinė rizika. Prieš bankui pradedant vykdyti naujas operacijas, įvertinama galima operacinė rizika.

12. Operacinės rizikos valdymo politikoje numatomi operacinės rizikos vertinimo metodai.

13. Siekiant laiku nustatyti ir įvertinti operacinę riziką, banke turi būti nuolat stebima operacinė rizika. Apie stebėjimo proceso rezultatus periodiškai informuojama banko valdyba.

14. Banke turi būti patvirtintos operacinės rizikos kontrolės procedūros. Atsižvelgiant į bendrą rizikos lygį, periodiškai peržiūrimi nustatyti limitai ir kitos kontrolės procedūros.

15. Vadovaudamasi Lietuvos banko valdybos patvirtintais Testavimo nepalankiausiomis sąlygomis bendraisiais nuostatais, banko valdyba turi užtikrinti, kad, be visų kitų sričių, į banko testavimą nepalankiausiomis sąlygomis būtų įtrauktas ir operacinės rizikos testavimas.

16. Nustatant, vertinant, stebint ir kontroliuojant operacinę riziką, reikia atsižvelgti ir į tai, kad operacinė rizika gali sudaryti sąlygas atsirasti ir kitoms rizikos rūšims arba operacinė rizika gali atsirasti dėl kitų rizikos rūšių.

 

V. OPERACINĖS RIZIKOS, SUSIJUSIOS SU INFORMACINĖMIS SISTEMOMIS, VALDYMO NUOSTATOS

 

17. Operacinei rizikai, susijusiai su informacinėmis sistemomis (5.1 punktas), turi būti skiriama ypač daug dėmesio.

18. Siekiant užtikrinti nenutrūkstamą ir veiksmingą informacinių sistemų funkcionavimą bei sumažinti operacinę riziką, susijusią su banko informacinėmis sistemomis, banko valdybos nustatyta tvarka ir periodiškumu įvertinamos šios informacinių sistemų kontrolės ir saugumo užtikrinimo priemonės:

18.1. Administracinės ir organizacinės vidaus kontrolės priemonės:

18.1.1. informacinių sistemų valdymo struktūros organizacija ir veiksmingumas;

18.1.2. informacinių sistemų veiklą reglamentuojanti politika, standartai ir procedūros;

18.1.3. tinkamas pareigų atskyrimas informacinių technologijų padalinio viduje bei tarp informacinių technologijų personalo ir informacinių sistemų vartotojų;

18.2. techninės ir programinės įrangos apsauga:

18.2.1. banko informacinių sistemų techninės ir programinės įrangos apsaugos įtraukimas į bendrą banko apsaugos sistemą;

18.2.2. priešgaisrinė apsauga;

18.2.3. priemonės, užtikrinančios informacinių sistemų veiklos tęstinumą ekstremaliomis sąlygomis;

18.2.4. duomenų išsaugojimo užtikrinimas;

18.2.5. testai apsaugos veiksmingumui patikrinti;

18.3. informacijos apsauga:

18.3.1. informacijos vartotojų teisių suteikimas ir paskirstymas banko viduje (darbuotojams ir administracijai);

18.3.2. informacijos vartotojų teisių suteikimas ir paskirstymas banko išorėje (klientams, operatoriams ir pan.);

18.3.3. telekomunikacijų ir kitų ryšio tinklų apsauga;

18.3.4. siunčiamos ir gaunamos informacijos apsauga;

18.3.5. nesankcionuoto informacijos naudojimo prevencija;

18.4. informacijos patikimumo užtikrinimas:

18.4.1. priemonės, užtikrinančios teisingą duomenų įvedimą, ir šio proceso kontrolė;

18.4.2. žmogaus įtaka;

18.4.3. programinių paketų, jų papildymo ir (ar) pataisymų kontrolė;

18.4.4. duomenų pakeitimo ar sunaikinimo prevencija;

18.5. apsauga nuo nesankcionuotų operacijų:

18.5.1. priemonės, užkertančios kelią atlikti nesankcionuotus mokėjimus, taikant banko informacinę sistemą;

18.5.2. apsauga nuo neteisėtų programinės įrangos pakeitimų, kuriais gali būti pasinaudota atliekant arba nuslepiant neteisėtas operacijas;

18.5.3. apsauga nuo neteisėtos specialios programinės įrangos, kuria pasinaudojus galima įveikti kompiuterių apsaugos sistemas, įdiegimo;

18.6. banko išorės ryšių ir priklausomybės nuo trečiųjų šalių, teikiančių informacinių technologijų ir telekomunikacijų paslaugas, kontrolė:

18.6.1. paslaugos teikėjų reputacijos, finansinės padėties įvertinimas;

18.6.2. informacinių sistemų priežiūros ir sutartinių įsipareigojimų vykdymo vertinimas;

18.6.3. atsakomybės už informacijos saugumą ir konfidencialumą nustatymas.

19. Banko valdyba atsakinga už prevencinių priemonių, kurios sumažintų su informacinėmis sistemomis susijusią operacinę riziką, sukūrimą. Be prevencinių priemonių, turėtų būti kuriamos papildomos priemonės, kurios leistų laiku išaiškinti ir apriboti veiksnius, galinčius pažeisti prevencines priemones.

 

VI. INFORMACIJOS APIE OPERACINĘ RIZIKĄ ATSKLEIDIMAS

 

20. Vadovaudamasi Lietuvos banko valdybos patvirtintais Minimaliais visuomenei skelbiamos informacijos reikalavimais, banko valdyba tvirtina informacijos skelbimo visuomenei politiką, kurioje, be visų kitų sričių, turi būti aptartas ir informacijos, susijusios su operacinės rizikos valdymu, atskleidimas.

21. Bankas visuomenei skelbiamoje informacijoje turi atskleisti pagrindinius operacinės rizikos šaltinius banke, operacinės rizikos mažinimo (prevencines) priemones, kitą reikšmingą informaciją, susijusią su operacinės rizikos valdymu.

 

VII. BAIGIAMOSIOS NUOSTATOS

 

22. Rengdamiesi įgyvendinti Naują kapitalo sutartį, bankai turi:

22.1. parengti operacinės rizikos valdymo politiką, kurioje būtų numatyti banko operacinės rizikos potencialūs šaltiniai, valdymo aplinka ir metodai, informacijos atskleidimo reikalavimai ir kita, banko nuomone, reikšminga informacija. Operacinės rizikos valdymo politiką turi detalizuoti operacinės rizikos valdymo tvarka;

22.2. pradėti kaupti istorinius duomenis apie operacinę riziką pagal veiklos sritis. Kaupiami duomenys mažiausiai turi apimti:

22.2.1. trumpą įvykio, susijusio su operacine rizika, apibūdinimą,

22.2.2. įvykio datą,

22.2.3. įvykio trukmę,

22.2.4. banko padalinio pavadinimą, kuriame nustatytas operacinės rizikos atsiradimo atvejis,

22.2.5. operacinės rizikos įvykio priežastis, įskaitant ryšį su kitomis rizikos rūšimis,

22.2.6. dėl operacinės rizikos atsiradimo patirtus nuostolius,

22.2.7. pasekmių pašalinimo laiką,

22.2.8. kitą, banko nuomone, reikšmingą informaciją;

22.3. pradėti nagrinėti banko verslo aplinką (išorės veiksnius, darančius potencialią įtaką operacinei rizikai);

22.4. testuodami operacinę riziką, atsižvelgti į nuostolių pasiskirstymą (angl. loss distribution), nagrinėti operacinės rizikos atsiradimo scenarijus (angl. scenario analysis), atlikti operacinės rizikos įvertinimo procedūras (angl. scorecard).

______________