11. Особенности управления рисками информационных технологий
11.1
|
Банк обеспечивает наличие системы управления рисками информационных технологий, которая соответствует внешней операционной среде, стратегии, организационной структуре, размеру, характеру и уровню сложности операций банка и обеспечивает:
эффективность, конфиденциальность, целостность, доступность, достоверность информации и ее соответствие законодательным требованиям Республики Казахстан;
достаточность ресурсов, включая приложения, информацию, инфраструктуру и персонал;
минимизацию рисков в деятельности банка, связанных с информационными технологиями.
Система управления рисками информационных технологий включает, но не ограничивается следующим:
-
политику управления рисками информационных технологий;
-
процедуры управления рисками информационных технологий;
-
систему управленческой информации;
-
внутренний контроль;
-
оценку эффективности системы управления рисками информационных технологий подразделением внутреннего аудита.
|
Совет директоров банка, УКО, правление банка
|
При организации системы управления рисками информационных технологий банк анализирует внешнюю операционную среду, в которой функционирует банк, рассматривает стратегию, организационную структуру банка, оценивает размер, характер, уровень сложности банковских операций и разрабатывает внутренние документы, охватывающие компоненты системы управления рисками информационных технологий.
|
-
|
-
|
11.2
|
Банк определяет следующих участников системы управления рисками информационных технологий (но, не ограничиваясь ими):
подразделение по управлению рисками информационных технологий или работник, ответственный за организацию и координацию управления рисками информационных технологий банка;
подразделение по информационным технологиям.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренние документы.
|
Внутренние документы банка
|
-
|
11.2.1
|
Банк создает структурное подразделение по управлению рисками информационных технологий или назначает работника, ответственного за организацию и координацию управления рисками информационных технологий банка, для выполнения следующих функций:
разработка, внедрение и постоянное развитие системы управления рисками информационных технологий;
разработка процедур по управлению рисками информационных технологий;
участие в разработке планов мероприятий по реализации стратегии банка в части развития информационных технологий;
анализ процессов в области информационных технологий;
мониторинг и оценка уровня рисков информационных технологий;
взаимодействие и консультирование структурных подразделений банка по вопросам управления рисками информационных технологий;
планирование проведения и анализ результатов самооценки рисков информационных технологий;
разработка и формирование карты рисков;
осуществление формирования сводной отчетности о событиях рисков информационных технологий и мониторинг исполнения плана мероприятий по их устранению;
формирование и предоставление отчетности или иной информации Совету Директоров, УКО и (или) Правлению по управлению рисками информационных технологий;
взаимодействие с внутренним аудитом.
|
Совет директоров банка, УКО, правление банка
|
Банк при создании структурного подразделения по управлению рисками информационных технологий или назначении работника, ответственного за организацию и координацию управления рисками информационных технологий банка обеспечивает независимость структурного подразделения по управлению рисками информационных технологий или работника, ответственного за организацию и координацию управления рисками информационных технологий банка, от структурных подразделений банка по информационным технологиям и информационной безопасности.
|
Внутренние документы банка
|
-
|
11.2.2
|
Банк создает структурное подразделение по информационным технологиям, которое выполняет, но не ограничивается следующими функциями:
реализация процедур по управлению рисками информационных технологий;
разработка планов мероприятий по реализации стратегии банка в части развития информационных технологий;
определение процессов в области информационных технологий;
разработка процедур по автоматизации и поддержке.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренние документы.
|
Внутренние документы банка
|
-
|
11.3
|
Банк разрабатывает политику управления рисками информационных технологий, которая содержит, но не ограничивается следующим:
1) цели, задачи и принципы управления рисками информационных технологий;
2) основные области управления рисками информационных технологий (риск-ориентированный подход);
3) основные виды угроз, связанных с рисками информационных технологий;
4) определение участников системы управления рисками информационных технологий, их полномочия, ответственность с четким определением структуры подотчетности;
5) порядок и процедуры управления рисками информационных технологий;
6) требования к профессиональным качествам работников подразделения, осуществляющего функции управления рисками информационных технологий.
|
Совет директоров банка, УКО, правление банка
|
При разработке политики управления рисками информационных технологий банк учитывает, но не ограничивается следующим:
все виды деятельности банка;
специфику, размер, характер и уровень сложности деятельности банка;
организационную структуру банка.
|
Внутренние документы банка
|
-
|
11.4
|
Банк выявляет, измеряет, осуществляет мониторинг и контроль за рисками информационных технологий посредством следующего (но, не ограничиваясь ими):
применения методологии управления рисками в сфере информационных технологий;
применения методологии управления рисками проектов;
разработки планов мероприятий по реализации стратегии банка в части развития информационных технологий.
|
Совет директоров банка, УКО, правление банка
|
При разработке процедур управления рисками информационных технологий банк учитывает, но не ограничивается следующими факторами:
-
размер, характер и сложность бизнеса банка;
2) состояние информационных систем, технологий и их возможности, в том числе с учетом развития бизнеса;
3) квалификацию и опыт персонала, вовлеченного в процесс управления рисками информационных технологий.
|
Внутренние документы банка
|
-
|
11.4.1
|
Банк управляет рисками информационных технологий и разрабатывает методологию управления рисками в сфере информационных технологий, которая соответствует стратегии и включает, но не ограничивается следующим:
1) определение внутренних и внешних факторов для оценки каждого из рисков информационных технологий;
2) сбор, регистрацию и хранение сведений о внутренних событиях рисков информационных технологий;
3) идентификацию событий (существенные реалистичные угрозы, которые могут реализоваться на наиболее уязвимом участке) с точки зрения потенциального негативного воздействия на цели или текущую деятельность банка, включая корпоративные, нормативные, технологические, договорные, кадровые и операционные аспекты;
4) ежегодную оценку рисков по результатам идентификации событий и формирование карты рисков;
5) регулярную оценку вероятности и последствий всех выявленных рисков, применяя качественные и (или) количественные методы оценки. Вероятность и последствия, связанные с внутренними (присущими природе процесса) и остаточными рисками определяются индивидуально по категориям и на агрегированной основе;
6) процедуры реагирования на риски, которые могут включать, в том числе мероприятия по уходу от рисков, минимизации, разделению или принятию рисков с указанием сроков и ответственных исполнителей;
7) мониторинг исполнения мероприятий по реагированию на риски.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренние документы.
|
Внутренние документы банка
|
-
|
11.4.2
|
Банк управляет рисками информационных технологий и разрабатывает методологию управления рисками проектов по информационным технологиям, которая соответствует стратегии и включает, но не ограничивается следующим:
1) порядок планирования проектов;
2) порядок оценки ресурсов;
3) порядок определения целевых результатов;
4) порядок согласования с участниками проектов;
5) порядок контроля результатов по этапам;
6) порядок планирования тестирования;
7) формирование отчета о результатах тестирования;
8) проведение анализа результатов проекта после внедрения.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренние документы.
|
Внутренние документы банка
|
-
|
11.4.3
|
Банк разрабатывает планы мероприятий по реализации стратегии банка в части развития информационных технологий, которые раскрывают, но не ограничивается следующим:
определение потребностей в ресурсах, в том числе определение бюджета, связанного с развитием информационных технологий;
описание требуемых мероприятий в области информационных технологий с указанием сроков и ответственных за их реализацию.
|
Совет директоров банка, УКО, правление банка
|
На основе стратегии банка подразделением по информационным технологиям разрабатываются и утверждаются Правлением ежегодные планы мероприятий по реализации стратегии банка в части развития информационных технологий.
Структурное подразделение по управлению рисками информационных технологий или ответственный работник банка по вопросам организации и координации управления рисками информационных технологий в ходе участия в процессе разработки планов мероприятий:
проводит анализ по выявлению возможных рисков информационных систем и процессов, связанных с информационными технологиями;
при необходимости разрабатывает рекомендации по корректировке планов мероприятий по реализации стратегии банка в части развития информационных технологий.
|
Внутренние документы банка
|
-
|
11.5
|
Банк обеспечивает наличие системы управленческой информации, включающей, но не ограничивающейся установлением порядка, определяющего:
критерии, состав и частоту отчетности по управлению рисками информационных технологий банка, представляемой различным получателям,
ответственных лиц\подразделений за подготовку и доведение информации до соответствующих получателей.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренний документ.
|
Внутренний документ банка
|
-
|
11.5.1
|
Банк разрабатывает формы управленческой отчетности, которые включают, но не ограничиваются следующей информацией:
о внутренних событиях рисков информационных технологий;
о результатах оценки рисков и формирования карты рисков;
о результатах мониторинга исполнения мероприятий по управлению рисками информационных технологий;
о результатах аудиторских проверок – при наличии.
|
Совет директоров банка, УКО, правление банка
|
Банк доводит информацию до соответствующих получателей в соответствии с внутренним документом.
При разработке внутреннего документа банк определяет представление информации совету директоров банка, УКО и правлению банка в полном объеме в соответствии с требованиями настоящего пункта.
|
информация совету директоров банка, УКО, правлению банка
|
не реже 1 раза в год
|
информация подразделению по управлению рисками информацион-ных технологий (ответственно-му работнику банка по вопросам организации и координации управления рисками информацион-ных технологий)
|
не реже 1 раза в квартал
|
12. Особенности управления рисками информационной безопасности
|
12.1
|
Банк обеспечивает наличие системы управления рисками информационной безопасности, которая соответствует внешней операционной среде, стратегии, организационной структуре, размеру, характеру и уровню сложности операций банка и направлена на минимизацию рисков в деятельности банка, связанных с нарушением целостности, конфиденциальности и доступности информационных активов, возникших вследствие преднамеренного деструктивного воздействия со стороны работников банка и (или) третьих лиц.
Система управления рисками информационной безопасностью включает, но не ограничивается следующим:
-
политику управления рисками информационной безопасности;
-
процедуры управления рисками информационной безопасности;
-
систему управленческой информации;
-
внутренний контроль;
-
оценку эффективности системы управления рисками информационной безопасности подразделением внутреннего аудита.
|
Совет директоров банка, УКО, правление банка
|
При организации системы управления рисками информационной безопасности банк анализирует внешнюю операционную среду, в которой функционирует банк, рассматривает стратегию, организационную структуру банка, оценивает размер, характер, уровень сложности банковских операций и разрабатывает внутренние документы, охватывающие компоненты системы управления рисками информационной безопасности.
|
-
|
-
|
12.2
|
Банк определяет следующих участников системы управления рисками информационной безопасности (но, не ограничиваясь ими):
подразделение по управлению рисками информационной безопасности или работник, ответственный за организацию и координацию процесса управления рисками информационной безопасности банка;
подразделение по информационной безопасности
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренние документы.
|
Внутренние документы банка
|
-
|
12.2.1
|
Банк создает структурное подразделение по управлению рисками информационной безопасности или назначает работника, ответственного за организацию и координацию процесса управления рисками информационной безопасности банка, для выполнения следующих функций:
разработка, внедрение и постоянное развитие системы управления рисками информационной безопасности;
разработка процедур по управлению рисками информационной безопасности;
участие в разработке планов мероприятий по реализации стратегии банка в части развития информационной безопасности;
анализ процессов в области информационной безопасности;
мониторинг и оценка уровня рисков информационной безопасности;
взаимодействие и консультирование структурных подразделений банка по вопросам управления рисками информационной безопасности;
планирование проведения и анализ результатов самооценки рисков информационной безопасности;
разработка и формирование карты рисков;
осуществление формирования сводной отчетности о событиях рисков информационной безопасности и мониторинг исполнения плана мероприятий по их устранению;
формирование и предоставление отчетности или иной информации совету директоров банка, УКО и (или) правлению банка по управлению рисками информационной безопасности;
взаимодействие с внутренним аудитом.
|
Совет директоров банка, УКО, правление банка
|
Банк при создании структурного подразделения по управлению рисками информационной безопасности или назначении работника, ответственного за организацию и координацию управления рисками информационной безопасности банка обеспечивает независимость структурного подразделения по управлению рисками информационной безопасности или работника, ответственного за организацию и координацию управления рисками информационной безопасности банка, от структурных подразделений банка по информационным технологиям и информационной безопасности.
|
Внутренние документы банка
|
-
|
12.2.2
|
Банк создает структурное подразделение по информационной безопасности, которое выполняет, но не ограничивается следующими функциями:
реализация процедур по управлению рисками информационной безопасности;
разработка планов мероприятий, направленных на управление рисками информационной безопасности, указанных в карте рисков;
определение процессов в области обеспечения информационной безопасности.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренние документы.
|
Внутренние документы банка
|
-
|
12.3
|
Банк разрабатывает политику управления рисками информационной безопасности, которая включает, но не ограничивается следующим:
цели, задачи и принципы управления рисками информационной безопасности;
основные области управления рисками информационной безопасности (риск-ориентированный подход);
определение участников системы управления рисками информационной безопасности, их полномочия, ответственность с четким определением структуры подотчетности;
основные виды угроз и модели потенциальных нарушителей информационной безопасности;
порядок и процедуры управления рисками информационной безопасности.
|
Совет директоров банка, УКО, правление банка
|
При разработке политики управления рисками информационной безопасности банк учитывает, но не ограничивается следующим:
все виды деятельности банка;
специфику, размер, характер и уровень сложности деятельности банка;
организационную структуру банка;
законодательство Республики Казахстан.
|
Внутренние документы банка
|
-
|
12.4
|
Банк выявляет, измеряет, осуществляет мониторинг и контроль за рисками информационной безопасности и разрабатывает следующее (но, не ограничиваясь ими):
1) внутренний документ, определяющий процедуры управления рисками информационной безопасности;
2) планы мероприятий, направленные на управление рисками информационной безопасности, указанных в карте рисков.
|
Совет директоров банка, УКО, правление банка
|
При разработке процедур управления рисками информационной безопасности структурное подразделение по управлению рисками информационной безопасности или работник, ответственный за организацию и координацию процесса управления рисками информационной безопасности учитывает, но не ограничивается следующими факторами:
-
размер, характер и сложность бизнеса банка;
2) состояние информационных систем, технологий и их возможности;
3) квалификацию и опыт персонала, вовлеченного в процесс управления рисками информационной безопасности;
4) законодательство Республики Казахстан.
|
Внутренние документы банка
|
-
|
12.4.1
|
Банк управляет рисками информационной безопасности и разрабатывает внутренний документ, определяющий порядок:
выявления, измерения, контроля и мониторинга рисков информационной безопасности;
сбора, регистрации и хранения сведений о внутренних событиях рисков информационной безопасности;
идентификации и классификации групп активов, критичных информационных систем банка и их владельцев;
определения потенциальных угроз в отношении групп активов критичных информационных систем;
идентификации уязвимостей, которые увеличивают вероятность реализации угроз;
прогнозирования последствий нарушения конфиденциальности, целостности и доступности информационных активов и ресурсов;
ежегодной оценки рисков и формирования карты рисков;
регулярной оценки вероятности и последствий всех выявленных рисков, применяя качественные и (или) количественные методы оценки.
реагирования на риски информационной безопасности, которые могут включать, в том числе мероприятия по уходу от рисков, минимизации, разделению или принятию рисков информационной безопасности с указанием сроков и ответственных исполнителей;
мониторинга исполнения мероприятий реагирования на риски информационной безопасности.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренний документ.
|
Внутренний документ банка
|
-
|
12.4.2
|
Банк разрабатывает планы мероприятий, направленные на управление рисками информационной безопасности, указанных в карте рисков, и раскрывающие, но не ограничивающиеся следующим:
определение потребностей в ресурсах, в том числе определение бюджета, связанного с развитием информационной безопасности и управлением рисками информационной безопасности;
описание требуемых мероприятий в области информационной безопасности с указанием сроков и ответственных исполнителей за их реализацию.
|
Совет директоров банка, УКО, правление банка
|
На основе карты рисков информационной безопасности подразделением по информационной безопасности разрабатываются и правлением банка утверждаются ежегодные планы мероприятий, направленные на управление идентифицированными рисками.
Структурное подразделение по управлению рисками информационной безопасности или ответственный работник банка по вопросам организации и координации процесса управления рисками информационной безопасности, в ходе участия в процессе разработки планов мероприятий:
проводит анализ достаточности мероприятий управления рисками информационной безопасности, необходимых ресурсов и сроков их реализации;
при необходимости разрабатывает рекомендации по корректировке планов мероприятий, направленных на управление рисками информационной безопасности, указанных в карте рисков.
|
Внутренний документ банка
|
-
|
12. 5
|
Банк обеспечивает наличие системы управленческой информации, включающей, но не ограничивающейся установлением порядка, определяющего:
критерии, состав и частоту отчетности по управлению рисками информационной безопасности банка, представляемой различным получателям,
ответственных лиц\подразделений за подготовку и доведение информации до соответствующих получателей.
|
Совет директоров банка, УКО, правление банка
|
Банк разрабатывает внутренний документ.
|
Внутренний документ банка
|
-
|
12.5.1
|
Банк разрабатывает формы управленческой отчетности, которые, включают, но не ограничиваются следующей информацией:
о внутренних инцидентах информационной безопасности;
о результатах оценки рисков и сформированную карту рисков информационной безопасности;
о результатах мониторинга исполнения планов мероприятий по управлению рисками информационной безопасности;
о результатах аудиторских проверок – при наличии.
|
Совет директоров банка, УКО, правление банка
|
Банк доводит информацию до соответствующих получателей в соответствии с внутренним документом.
При разработке внутреннего документа банк определяет представление информации совету директоров банка, УКО и правлению банка в полном объеме в соответствии с требованиями настоящего пункта.
|
информация совету директоров банка,
УКО,
правлению банка
|
не реже 1 раза в год
|
подразделению по управлению рисками информацион-ной безопасности (ответственно-му работнику банка по вопросам организации и координации процесса управления рисками информацион-ной безопасности)
|
не реже 1 раза в квартал
|
13. Особенности управления комплаенс-риском
|
13.1
|
Банк обеспечивает наличие системы управления комплаенс-риском, которая соответствует текущей рыночной ситуации, стратегии, размеру, уровню сложности операций банка.
Система управления комплаенс-риском включает, но не ограничивается следующим:
-
политику управления комплаенс-риском;
-
процедуры управления комплаенс-риском;
-
систему управленческой информации;
-
внутренний контроль;
-
оценку эффективности системы управления комплаенс-риском подразделением внутреннего аудита.
Система управления комплаенс-риском основывается на трех линиях защиты: 1) все работники банка; 2) подразделение по комплаенс-контролю; 3) независимая оценка эффективности управления комплаенс-риском подразделением внутреннего аудита.
|
Совет директоров банка, УКО, правление банка
|
При организации системы управления комплаенс-риском банк анализирует текущую рыночную ситуацию, рассматривает стратегию банка, оценивает размер, уровень сложности банковских операций и разрабатывает внутренние документы, охватывающие компоненты системы управления комплаенс-риском.
|
-
|
-
|
13.1.1
|
Банк разрабатывает политику управления комплаенс-риском, которая включает, но не ограничивается следующим:
1) цели и задачи управления комплаенс- риском;
2) принципы управления комплаенс-риском, в том числе принципы создания комплаенс-культуры в банке (культуры соблюдения банком и его работниками требований законодательства Республики Казахстан, законодательства иностранных государств, оказывающих влияние на деятельность банка, и внутренних документов, регулирующих деятельность банка);
3) порядок, способы и процедуры управления комплаенс-риском, в том числе основанных на риск-ориентированном подходе;
4) порядок, способы и процедуры управления рисками преднамеренного или непреднамеренного вовлечения банка в процессы легализации (отмывания) доходов, полученных незаконным путем, и финансирования терроризма, или иную преступную деятельность, (риски легализации (отмывания) доходов, полученных незаконным путем, и финансирования терроризма);
5) участников системы управления комплаенс-риском на основе трех линий защиты, их полномочия, ответственность с четким определением структуры подотчетности;
6) полномочия и ответственность главного комплаенс-контролера, руководителя подразделения по комплаенс-контролю;
7) требования к профессиональным качествам работников подразделения по комплаенс-контролю;
8) порядок взаимодействия и обмена информацией между участниками системы управления комплаенс-риском.
|
Совет директоров банка, УКО, правление банка
|
При разработке политики управления комплаенс-риском банк учитывает, но не ограничивается следующими факторами:
стратегию банка и виды деятельности, подвергающие банк комплаенс-риску;
допустимый уровень риска банка;
размер, характер и сложность бизнеса банка;
сложность организационной структуры банка;
уровень и виды рисков, присущих деятельности банка;
эффективность примененных банком в прошлом процедур управления комплаенс-риском;
ожидания в отношении любых потенциальных внутренних организационных изменений и (или) внешних изменений рыночных условий;
законодательство Республики Казахстан, регламентирующее вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательство иностранных государств, оказывающее влияние на деятельность банка.
|
Внутренние документы банка
|
-
|
13.1.2
|
Банк определяет участников системы управления комплаенс-риском на основе трех линий защиты.
|
Совет директоров банка, УКО, правление банка
|
Первая линия защиты обеспечивается всеми работниками банка.
Работники структурных подразделений несут ответственность за своевременное доведение до подразделения по комплаенс-контролю информации о нарушениях (недостатках, событиях, сделках), которые могут привести к возникновению комплаенс-рисков банка.
Руководители структурных подразделений несут ответственность за организацию и осуществление управления комплаенс-риском в структурном подразделении, в том числе за осуществление мероприятий по устранению выявленных нарушений и недостатков.
Вторая линия защиты обеспечивается подразделением по комплаенс-контролю.
Отдельные функции второй линии защиты в соответствии с внутренними документами банка могут быть делегированы иным структурным подразделениям банка при условии отсутствия конфликта интересов.
Руководитель подразделения по комплаенс-контролю несет ответственность за деятельность подразделения по комплаенс-контролю.
Третья линия защиты обеспечивается подразделением внутреннего аудита посредством независимой оценки эффективности системы управления комплаенс-риском.
|
Внутренние документы банка
|
-
|
13.1.2.1
|
Банк назначает работника, ответственного за организацию и координацию управления комплаенс-риском (Главный комплаенс-контролер), который является членом правления банка, не осуществляющим функции, связанные с управлением бизнес-подразделениями, или лицом, подотчетным напрямую совету директоров банка (Председателю правления банка), напрямую не курирующему бизнес-подразделения банка.
Главный комплаенс-контролер может совмещать функции руководителя подразделения по комплаенс-контролю.
|
Совет директоров банка, УКО, правление банка
|
Главный комплаенс-контролер информирует на периодической основе Председателя правления банка и правление банка о состоянии системы управления комплаенс-риском в банке, включая информацию о выявленных комплаенс-рисках, о нарушениях или несоблюдении банком и (или) его работниками требований внутренних документов банка по вопросам управления комплаенс-рисками.
В случае непринятия Председателем правления банка и правлением банка мер по устранению нарушений и недостатков, выявленных в процессе комплаенс-контроля, Главный комплаенс-контролер обращается к совету директоров банка.
|
Протокол/
Решение Совета Директоров
|
-
|
13.1.2.2
|
Банк создает подразделение по комплаенс-контролю, которое осуществляет, но не ограничивается следующими функциями:
разработка порядка, способов и процедур выявления, измерения, мониторинга и контроля за комплаенс-рисками банка, в том числе на консолидированной основе;
формирование комплаенс-программы (плана), определяющей планируемую деятельность подразделения по комплаенс-контролю, в том числе:
1) по осуществлению внедрения и (или) проверке соответствующих политик и процедур банка;
2) по осуществлению периодических проверок (не реже 1 раза в квартал) соблюдения банком законодательства Республики Казахстан, регламентирующего вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательства иностранных государств, оказывающего влияние на деятельность банка в целях определения степени подверженности банка комплаенс-риску;
3) по обучению персонала по вопросам управления комплаенс-риском;
содействие правлению банка в управлении комплаенс-риском банка;
проведение мониторинга соответствия деятельности банка и его работников законодательству Республики Казахстан;
контроль за организацией работы банка по рассмотрению жалоб (заявлений) клиентов банка;
консультирование руководства и работников банка о законах, правилах и стандартах, применяемых к банку и имеющих отношение к управлению комплаенс-рисками, в том числе о последних изменениях в них;
контроль организации в банке работы по ознакомлению всех работников банка с требованиями внутренних документов банка, регламентирующих порядок оказания банком услуг и проведения операций на финансовом рынке;
организация обучения работников банка по вопросам комплаенс-контроля;
координация деятельности дочерних организаций банка по вопросам управления комплаенс-риском, в том числе рисками легализации (отмывания) доходов, полученных незаконным путем, и финансирования терроризма;
обязательное участие в процессе внедрения новых банковских продуктов и услуг;
разработка и осуществление мероприятий по контролю за использованием инсайдерской и конфиденциальной информации;
разработка и осуществление мероприятий по выявлению, оценке и контролю конфликтов интересов;
разработка самостоятельно или совместно со структурными подразделениями и должностными лицами банка рекомендаций по устранению выявленных нарушений и недостатков в работе банка, связанных с управлением комплаенс-риском и представление соответствующей информации совету директоров банка (УКО, правлению банка);
мониторинг соблюдения банком и его работниками политик и процедур управления комплаенс-риском;
разработка и ведение системы отчетности по комплаенс-рискам и предоставление на периодической основе информации по вопросам управления комплаенс-рисками банка совету директоров банка (УКО, правлению банка);
разработка порядка взаимодействия и координации работы управлению комплаенс-рисками со структурными подразделениями банка, в том числе с подразделением внутреннего аудита.
|
Совет директоров банка, УКО, правление банка
|
Подразделение по комплаенс-контролю является ответственным за разработку, осуществление управления комплаенс-риском и координацию деятельности банка по управлению комплаенс-рисками.
Подразделение по комплаенс-контролю является структурным подразделением банка, независимым от какой-либо деятельности структурных подразделений банка, составляющих первую линию защиты.
Независимость обеспечивается следующими факторами:
подразделение по комплаенс-контролю имеет статус самостоятельного структурного подразделения;
подразделение по комплаенс-контролю возглавляется руководителем, который подотчетен Главному комплаенс-контролеру;
работники подразделения по комплаенс-контролю не могут занимать должности по совместительству в иных структурных подразделениях банка;
руководитель и работники подразделения по комплаенс-контролю не должны оказаться в ситуации, когда возможен конфликт интересов между их обязанностями по управлению комплаенс-рисками и любыми другими возложенными на них обязанностями;
работники подразделения по комплаенс-контролю в рамках своей компетенции вправе затребовать любую информацию у структурных подразделений, дочерних организаций банка и вправе привлекать любых работников банка и его дочерних организаций для содействия выполнению функции комплаенс-контроля.
|
Внутренние документы банка
|
-
|
13.1.3
|
Банк выявляет, измеряет, осуществляет мониторинг и контроль за комплаенс-риском и разрабатывает процедуры управления комплаенс-риском, которые включают, но не ограничиваются следующим:
разработку внутренних руководств (инструкций) для работников банка по вопросам управления комплаенс-риском, в том числе рисками легализации (отмывания) доходов, полученных незаконным путем, и финансирования терроризма, посредством подготовки внутренних документов;
мониторинг соблюдения банком и его работниками политик и процедур управления комплаенс-риском;
сбор данных о событиях комплаенс-риска;
анализ жалоб (заявлений) клиентов (контрагентов) на действия банка или его работников на предмет наличия комплаенс-риска и принятия мер по его устранению (предотвращению);
разработка и анализ количественных и качественных показателей, характеризующих степень подверженности банка комплаенс-риску;
проведение расследований (проверок) самостоятельно или совместно со структурными подразделениями и (или) должностными лицами банка фактов нарушения работниками банка законодательства Республики Казахстан, регламентирующего вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательства иностранных государств, оказывающего влияние на деятельность банка, согласно порядку, определенному внутренним документом банка;
предоставление консультаций по запросам относительно соответствия конкретной операции (сделки) банка или ее части законодательству Республики Казахстан, регламентирующему вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательству иностранных государств, оказывающему влияние на деятельность банка.
|
Совет директоров банка, УКО, правление банка
|
При разработке процедур выявления, измерения мониторинга и контроля за комплаенс-риском банк учитывает, но не ограничивается следующими факторами:
1) размер, характер и сложность бизнеса банка;
2) доступность данных для использования в качестве исходной информации;
3) состояние информационных систем и их возможности;
4) квалификацию и опыт персонала, вовлеченного в процесс управления комплаенс-риском.
|
Внутренние документы банка
|
-
|
13.1.4
|
Банк осуществляет контроль за организацией работы банка по рассмотрению жалоб (заявлений) клиентов банка.
|
Совет директоров банка, УКО, правление банка
|
В целях контроля за организацией работы банка по рассмотрению жалоб (заявлений) клиентов банка подразделение по комплаенс-контролю:
проводит систематический анализ поступивших жалоб (заявлений) клиентов для выявления и устранения причин, послуживших причиной жалоб (заявлений) клиентов и на периодической основе доводит его результаты совету директоров банка (УКО, правлению банка);
разрабатывает рекомендации по устранению нарушений и недостатков в работе банка, в том числе по внесению изменений и (или) дополнений во внутренние документы банка по результатам выявления недостатков в работе банка и (или) в случаях возникновения условий, влияющих на степень подверженности банка комплаенс-риску или репутацию банка;
осуществляет контроль за устранением нарушений и недостатков в работе банка, выявленных по результатам анализа жалоб (заявлений) клиентов, и представляет соответствующую информацию совету директоров банка (УКО, правлению банка).
|
Протокол/
Решение Совета Директоров
|
-
|
13.1.5
|
Банк разрабатывает внутренние документы, регламентирующие порядок управления рисками и осуществления финансового мониторинга в целях противодействия легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма.
|
Совет директоров банка, УКО, правление банка
|
Порядок, способы и процедуры управления рисками легализации (отмывания) доходов, полученных незаконным путем, и финансирования терроризма соответствуют организационной структуре, специфике, характеру и уровню сложности деятельности банка, объемам и структуре клиентской базы банка, требованиям законодательства Республики Казахстан в сфере противодействия легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма.
Основными принципами разработки и реализации внутренних документов банка по управлению рисками и осуществлению финансового мониторинга в целях противодействия легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма является обеспечение:
осуществления работниками банка (в пределах их компетенции) идентификации и изучения (надлежащей проверки) клиентов на основе риск-ориентированного подхода;
выявления работниками банка (в пределах их компетенции) операций, подлежащих финансовому мониторингу, а также операций, в отношении которых возникают подозрения об их совершении (попытке совершения) с целью легализации (отмывания) доходов, полученных незаконным путем, и финансирования терроризма (подозрительные операции).
|
Достарыңызбен бөлісу: |
