LIETUVOS BANKO VALDYBOS

Suvestinė redakcija nuo 2010-12-31 iki 2010-12-31

Nutarimas paskelbtas: Žin. 2008, Nr. 127-4888, i. k. 108505ANUTA00000149

NUTARIMAS

DĖL VIDAUS KONTROLĖS IR RIZIKOS VERTINIMO (VALDYMO) ORGANIZAVIMO NUOSTATŲ

2008 m. rugsėjo 25 d. Nr. 149

Vilnius

Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo (Žin., 1994, Nr. 99-1957; 2001, Nr. 28-890) 9 straipsniu, Lietuvos banko valdyba nutaria:

1. Patvirtinti Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatas (pridedama).

2. Pripažinti netekusiais galios:

2.1. Lietuvos banko valdybos 2001 m. gruodžio 6 d. nutarimą Nr. 178 „Dėl Bendrųjų banko vidaus kontrolės organizavimo nuostatų“ (Žin., 2001, Nr. 107-3894);

2.2. Lietuvos banko valdybos 2003 m. liepos 24 d. nutarimą Nr. 74 „Dėl Operacinės rizikos valdymo banke bendrųjų nuostatų“ (Žin., 2003, Nr. 77-3568);

2.3. Lietuvos banko valdybos 1995 m. liepos 7 d. nutarimą Nr. 61 „Dėl Paskolų komiteto sudarymo ir veiklos tvarkos patvirtinimo“ (Žin., 1995, Nr. 62-1568).

3. Šis nutarimas įsigalioja 2009 m. balandžio 1 dieną.

VALDYBOS PIRMININKAS REINOLDIJUS ŠARKINAS

PATVIRTINTA

Lietuvos banko valdybos

2008 m. rugsėjo 25 d. nutarimu Nr. 149

VIDAUS KONTROLĖS IR RIZIKOS VERTINIMO (VALDYMO) ORGANIZAVIMO NUOSTATOS

I. BENDROSIOS NUOSTATOS

1. Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatos (toliau – Nuostatos) nustato pagrindinius principus, kuriais turi vadovautis bankas, siekdamas užtikrinti, kad banko vidaus kontrolės sistema ir rizikos vertinimas (valdymas) būtų tinkamai organizuotas, veiksmingas ir užtikrintų saugią ir stabilią banko veiklą.

2. Nuostatos taikomos Lietuvos banko išduotą licenciją turintiems bankams, Centrinei kredito unijai ir mutatis mutandis kredito unijoms, Lietuvos banko išduotą licenciją turintiems užsienio valstybių bankų filialams (toliau – bankai).

3. Nuostatos mutatis mutandis taikomos banko finansinei grupei, jeigu jai taikomi Lietuvos Respublikos įstatymuose ir Lietuvos banko teisės aktuose nustatyti konsoliduotos priežiūros reikalavimai.

4. Nuostatos parengtos atsižvelgus į Bazelio bankų priežiūros komiteto išleistus dokumentus: Vidaus kontrolės sistemų bankuose struktūra (angl. Framework for internal control systems in banking organisations), Patikimas paskolų vertinimas ir matavimas (angl. Sound credit risk assessment and valuation for loans), Palūkanų normos rizikos valdymo principai (angl. Principles for the management and supervision of interest rate risk), Patikima likvidumo valdymo bankinėse organizacijose praktika (angl. Sound practices for managing liquidity in banking organizations), Patikima operacinės rizikos valdymo ir priežiūros praktika (angl. Sound practices for the management and supervision of operational risk) ir į Europos bankų priežiūros institucijų komiteto (toliau – CEBS) išleistus dokumentus: Koncentracijos rizikos valdymo pagal priežiūrinio tikrinimo ir vertinimo procesą gairės (angl. Guidelines on the management of concentration risk under the supervisory review process), CEBS techninės paramos Europos Komisijai dėl likvidumo rizikos valdymo antroji dalis (angl. Second part of CEBS’ technical advice to the European Commission on liquidity risk managament), Likvidumo atsargų ir išgyvenimo laikotarpių gairės (angl. Guidelines on liquidity buffers & survival periods), Peržiūrėto didelių pozicijų režimo įgyvendinimo gairės (angl. Guidelines on the implementation of the revised large exposures regime).

Punkto pakeitimai:

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

II. RIZIKOS VALDYMAS IR VIDAUS KONTROLĖS SISTEMA

Pakeistas skyriaus pavadinimas:

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

4¹. Banke turi būti įdiegta veiksminga rizikos valdymo sistema, apimanti rizikos valdymo strategiją, politiką, rizikos limitų sistemą, kitas rizikos valdymo priemones ir procedūras, taip pat rizikos valdymo vidaus kontrolę ir vidaus auditą.

Papildyta punktu:

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

5. Vidaus kontrolė – tai nenutrūkstamas procesas, kurio metu ir kuriam darydami įtaką banko vadovai ir kiti darbuotojai užtikrina, kad:

5.1. banko veikla, naudojant banko turtą ir kitus išteklius, bus veiksminga, bankas bus apsaugotas nuo galimų nuostolių;

5.2. finansinė ir kita informacija, naudojama tiek banko viduje, tiek priežiūros tikslais ar kitų trečiųjų asmenų, bus patikima, tinkama ir pateikiama laiku;

5.3. banko veikla atitiks įstatymus, Lietuvos banko ir kitus teisės aktus, banko strategiją ir vidaus politiką.

6. Banko veiklos vidaus kontrolę banke turi užtikrinti patikima ir tinkamai veikianti vidaus kontrolės sistema. Banko veiklos vidaus kontrolės sistemą turi sudaryti:

6.1. tinkama organizacinė struktūra, leidžianti užtikrinti funkcijų atskyrimą ir vertikalius bei horizontalius atsakomybės ryšius;

6.2. tinkama vidaus informacinė sistema, valdymo organų informavimo sistema, leidžianti laiku priimti sprendimus;

6.3. tinkama personalo atsakomybė ir kompetencija;

6.4. tinkama dviguba veiklos procedūrų vidaus kontrolė;

6.5. tinkama rizikos kontrolė ir rizikos valdymas;

6.6. tinkamos vidaus kontrolės procedūros;

6.7. periodiškas vidaus kontrolės sistemos vertinimas ir rastų trūkumų šalinimas.

7. Veiksmingas 6.1–6.7 punktuose nurodytų vidaus kontrolės elementų funkcionavimas yra būtinas siekiant pagrindinių vidaus kontrolės tikslų.

8. Banko vidaus kontrolė turi būti organizuota vadovaujantis šiais pagrindiniais reikalavimais:

8.1. banko stebėtojų taryba užtikrina, kad banke bus veiksminga vidaus kontrolės sistema. Banko stebėtojų taryba turi pažinti ir išmanyti visas reikšmingas, su banko veikla susijusias rizikos rūšis, nustatyti bankui priimtiną rizikos mastą ir užtikrinti, kad banko valdymo organai imsis visų reikalingų priemonių, kad riziką nustatytų, įvertintų ir kontroliuotų. Banko valdymo organai atsakingi už bendros banko veiklos strategijos ir reikšmingos politikos tvirtinimą ir periodišką peržiūrą;

8.2. banko valdymo organai atsakingi už banko veiklos strategijos ir reikšmingos politikos įgyvendinimą, rizikos nustatymo, vertinimo, stebėjimo ir kontrolės bei atskaitomybės procesų tobulinimą banke, organizacinės struktūros, aiškiai nustatančios banko darbuotojų teises, pareigas ir atsakomybę, palaikymą ir užtikrinimą, kad tos pareigos bus atliekamos. Banko valdymo organai yra atsakingi ir užtikrina tinkamas procedūras, reikalingas vidaus kontrolei, stebi ir palaiko jų veiksmingumą ir pakankamumą;

8.3. banko valdymo organai turi skatinti darbuotojus laikytis griežtų etikos standartų ir sukurti visiems banko darbuotojams aplinką, pabrėžiančią vidaus kontrolės svarbą. Banko valdymo organai turi užtikrinti, kad darbuotojai turėtų tinkamą kvalifikaciją ir reputaciją, pakankamai patirties ir reikiamų įgūdžių savo pareigoms atlikti. Savo ruožtu banko darbuotojai turi įvertinti savo svarbą ir vietą vidaus kontrolės procese. Banko valdymo organai turi užtikrinti, kad banko išleistose rašytinėse veiklos procedūrose bus pabrėžta banko darbuotojo svarba ir vieta vidaus kontrolės procese ir kad su jomis bus supažindinti atitinkami banko darbuotojai;

8.4. banke veikianti informavimo sistema turi būti tinkamai reglamentuota (turi būti banko valdymo organams teikiamos informacijos registras pagal kiekvieną banko valdomą rizikos rūšį, nurodyti atsakingi asmenys, teikimo periodiškumas).

8.5. veiksminga vidaus kontrolės sistema turi užtikrinti, kad rizika, kuri gali turėti įtakos banko veiklai, yra nustatyta ir nuolat vertinama. Rizikos vertinimas turi apimti visas rizikos rūšis (kredito, rinkos, likvidumo, operacinę, teisinę, reputacijos ir kitą), su kuriomis susiduria bankas ar visa banko finansinė grupė, apimanti ir globojantį (patronuojantį) banką. Vidaus kontrolės sistema periodiškai turi būti peržiūrima siekiant tinkamai įvertinti naujas arba anksčiau nekontroliuotas rizikos rūšis;

8.6. vidaus kontrolė – neatskiriama ir nenutrūkstama banko kasdieninės veiklos dalis. Veiksminga vidaus kontrolės sistema turi užtikrinti, kad bus sukurta tinkama kontrolės struktūra, nustatytos kontrolės procedūros kiekvienu valdymo lygiu. Kontrolės procedūros turėtų apimti: ataskaitas banko valdymo organams, tinkamą banko struktūrinių padalinių (departamentų, skyrių ir pan.) veiklos kontrolę, banko turto apsaugą, nustatytų limitų laikymosi ir nukrypimų nuo jų fiksavimą ir banko valdymo organų informavimą, teisių atlikti operacijas suteikimą bei duomenų lyginimą ir tikrinimą;

8.7. viena iš veiksmingos vidaus kontrolės sistemos sąlygų – tinkamas darbuotojų funkcijų atskyrimas, t. y. turi būti vengiama interesų konfliktų. Banko valdymo organai ir atitinkamų struktūrinių padalinių vadovai turi užtikrinti, kad būtų atskirtas teisių atlikti finansines ir ūkines operacijas suteikimas, jų vykdymas, įtraukimas į apskaitą ir saugojimas. Galimos interesų konfliktų veiklos sritys turi būti nustatytos, jų skaičius sumažintas iki minimumo, jas atidžiai turi stebėti nepriklausomas asmuo, t. y. asmuo, nesusijęs su interesų konfliktų sritimis. Kiekviena darbuotojo užduotis turi būti aiški, logiška, o teisės, pareigos ir atsakomybė aptartos ir suderintos;

8.8. veiksminga vidaus kontrolės sistema reikalauja, kad banke veiktų patikimos informacinių technologijų sistemos, kurios apimtų visas reikšmingas banko veiklos sritis. Turi būti užtikrinta saugi ir nenutrūkstama šių sistemų, ypač susijusių su duomenų kaupimu, apdorojimu ir naudojimu, veikla, parengti jų veiklos tęstinumo planai ir pasiruošta įvairiems ypatingiems atvejams;

8.9. vidaus kontrolės sistema turi garantuoti patikimos ir tinkamos vidaus bei išorės informacijos, turinčios įtakos priimant sprendimus, pateikimą laiku ir tinkama forma, taip pat kad visi banko darbuotojai būtų susipažinę ir išmanytų banko politiką ir procedūras, susijusias su jų pareigomis ir atsakomybe;

8.10. banko vidaus kontrolės sistemos veiksmingumas turi būti vertinamas tiek nuolat (banko darbuotojams atliekant savo pareigas), tiek periodiškai (atliekant vidaus, išorės auditą, savęs vertinimą ar kitais pasirinktais būdais);

8.11. vidaus kontrolės sistemos vidaus auditą turi atlikti nepriklausomas banko padalinys, kuriam pavestos tokios funkcijos, turintis tinkamą kvalifikaciją ir kompetenciją. Viena iš vidaus audito funkcijų – stebėti vidaus kontrolės sistemą, tiesiogiai informuoti audito komitetą ir (arba) banko vadovus apie pastebėtus trūkumus arba pažeidimus;

8.12. banko darbuotojai, vykdydami savo pareigas, apie vidaus kontrolės sistemos trūkumus, netinkamai valdomą riziką, su kuria susiduria bankas, arba pažeidimus turi nedelsdami pranešti banko vadovams.

III. KREDITO RIZIKOS PRISIĖMIMAS IR VALDYMAS

9. Neteko galios nuo 2010-12-31

Punkto naikinimas:

Nr. 03-117, 2010-09-23, Žin. 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

10. Bankas turi turėti patvirtintą kredito rizikos valdymo strategiją (politiką). Kredito rizikos valdymo strategijoje detalizuojami visi Vidaus kapitalo pakankamumo vertinimo proceso bendrosiose nuostatose, patvirtintose Lietuvos banko valdybos 2006 m. lapkričio 23 d. nutarimu Nr. 145 (Žin., 2006, Nr. 143-5456), minėti strategijos elementai.

11. Banko kredito rizikos valdymą reglamentuojantys dokumentai turi atitikti banko kreditavimo veiklos pobūdį ir sudėtingumą, būti suderinti su apdairia bankine praktika ir Lietuvos banko reikalavimais.

12. Visi kreditavimo produktai ir procesai turi būti tinkamai reglamentuoti ir dokumentuoti laikantis rizikos vertinimo ir vidaus kontrolės reikalavimų.

13. Atsižvelgęs į veiklos mastą, bankas turi tinkamai reglamentuoti specifinių veiklų (naujos įmonės, nekilnojamojo turto plėtros įmonės (projektai) ir pan.) kredito rizikos vertinimą.

14. Visoje banko finansinėje grupėje kreditavimo ir kredito rizikos valdymas turi būti suprantamas vienodai.

15. Bankas turi nuolat vertinti išorės aplinkos poveikį banko kreditavimo veiklai ir imtis tinkamų veiksmų, kad sumažintų neigiamą įtaką (nustatytų limitų, reikalavimų peržiūrėjimas ir pan.).

16. Banke turi būti įdiegta veiksminga vadovų informavimo sistema:

16.1. Kredito rizikos kontrolės padalinys turi reguliariai atsiskaityti banko valdybai, t. y. teikti kredito rizikos analizės ataskaitas, kuriose būtų informacija bent jau apie išorės aplinką, portfelio augimas palygintas su biudžetu, nurodytos išlaidos dėl rizikos, didžiausi įsipareigojimai, pasiskirstymas pagal ekonomines veiklos sritis, mokėjimo terminų pradelsimai, didžiausi probleminiai klientai, portfelio pasiskirstymas pagal rizikos kategorijas (rangus, rizikos grupes), rizikos kategorijų (rangų, rizikos grupių) pasikeitimai per tam tikrą laikotarpį ir pan.

16.2. Paskolų komitetas ir rizikos valdymo komitetas turi reguliariai teikti banko valdybai numatytų tikslų įgyvendinimo valdant kredito riziką ataskaitas. Šių ataskaitų turinys turi apimti bent jau prisiimto rizikos lygio, aktualios (planuojamos) rizikos struktūros, rizikos valdymo aspektus, taip pat kitus reikšmingus pokyčius ir nustatytos politikos išimtis, tobulintinas sritis ir pastangas ištaisyti nustatytus trūkumus.

17. Bankas turi turėti tinkamą kredito rizikos vertinimo sistemą, kurią naudodamas galėtų:

17.1. vertinti balansines ir nebalansines pozicijas („pozicija“ suprantama taip, kaip yra apibrėžta Kapitalo pakankamumo skaičiavimo bendrosiose nuostatose, patvirtintose Lietuvos banko valdybos 2006 m. lapkričio 9 d. nutarimu Nr. 138 (Žin., 2006 Nr. 142-5442) pagal sandorio šalis, įskaitant ir bendros susijusių asmenų pozicijos vertinimą;

17.2. naudodamas kiekybinius ir kokybinius vertinimo kriterijus nustatyti skirtingas rizikos kategorijas (rangus, rizikos grupes), kurioms priskirtų skolininkus ir (arba) pozicijas:

17.2.1. bankas turi turėti aiškius kiekvienos rizikos kategorijos (rango, rizikos grupės) apibrėžimus;

17.2.2. rizikos kategorijų (rangų, rizikos grupių) reitingų skalėje turi pakakti, kad būtų galima tinkamai diferencijuoti skolininkus (pozicijas) pagal riziką.

18. Vertindamas skolininkų ir (arba) pozicijų kredito riziką ir priskirdamas juos rizikos kategorijoms (rangams, rizikos grupėms), bankas turi naudoti tinkamus, aiškiai apibrėžtus ir aprašytus dokumentuose kriterijus, taip pat ir tais atvejais, kai banko kredito rizika perleidžiama kitiems asmenims dėl pakeitimo vertybiniais popieriais sandorių arba apsidraudimo. Bankas turi atsižvelgti į skolininko finansinę padėtį, jo gebėjimą grąžinti lėšas ir, kai reikia, į gautą užtikrinimo priemonę ir užtikrinimo priemonės objekto srautus. Vertindamas įmonių kredito riziką, kai pozicijos suma, banko nuomone, yra reikšminga, bankas taip pat turi įvertinti:

18.1. ekonominės veiklos srities, kuriai priklauso skolininkas, situaciją ir specifinių šios ekonominės veiklos srities rodiklių ir bendros makroekonominės situacijos rodiklių sąryšį;

18.2. skolininko padėtį rinkoje (užimamą rinkos dalį, konkurentus, tiekėjus, klientus ir pan.);

18.3. skolininko nuosavybės struktūrą ir valdymą (akcininkus, vadovus, organizacinę struktūrą ir t. t.);

18.4. apskaitos kokybę (pvz., įvertinti, ar pastarųjų kelerių metų auditoriaus išvadose nebuvo neigiamų pastabų).

19. Vertindamas fizinių asmenų kredito riziką, bankas turi įvertinti:

19.1. skolininko pajėgumą įvykdyti įsipareigojimus, susijusius su pozicija;

19.2. skolininko turtą (taupymo produktus, sąskaitas banke ir t. t.);

19.3. skolininko stabilumą ir patikimumą (skolininko išsilavinimą, šeiminę padėtį, darbo trukmę dabartinėje darbovietėje, išorės ir (arba) vidaus informaciją apie skolininko mokėjimo terminų pradelsimus ir apie tai, ar skolininkas turi nuosavą gyvenamąjį plotą, ar jį nuomoja ir t. t.);

19.4. ekonomines sąlygas ir (arba) kitas aplinkybes, galinčias daryti įtaką pozicijos grąžinimui.

20. Jei bankas, priskirdamas skolininkus ir pozicijas rangams ar rizikos grupėms, taiko statistinius modelius, jie turi atitikti Kapitalo pakankamumo skaičiavimo bendrosiose nuostatose tokiems modeliams keliamus reikalavimus.

21. Sprendimų suteikti pozicijas (nesuteikti pozicijų) priėmimo procedūros, ypač kai tai susiję su užduočių skyrimu atitinkamiems darbuotojams, turi būti aiškiai formalizuotos, aprašytos dokumentuose ir jos turi atitikti banko charakteristikas (banko dydį, organizacinę struktūrą, veiklos pobūdį ir pan.).

22. Skolininkų priskyrimas (pakartotinis priskyrimas) rizikos kategorijoms (rangams, rizikos grupėms) turi būti tinkamai pagrįstas ir aprašytas dokumentuose. Bankas turi suteikti galimybę trečiajai šaliai, jei reikia, atkartoti skolininkų (pozicijų) priskyrimą rizikos kategorijoms (rangams, rizikos grupėms).

23. Bankas turi kaupti kiekybinę ir kokybinę informaciją, kurios pagrindu buvo priimtas sprendimas suteikti poziciją arba nesuteikti pozicijos skolininkui (ar ją persvarstyti) ir priskirti skolininką (ar poziciją) atitinkamai rizikos kategorijai (rangui, rizikos grupei). Tokia informacija kaupiama vienoje vietoje (byloje, elektroninėje laikmenoje ar pan.).

24. Prieš priimdamas sprendimą suteikti kreditą arba nesuteikti kredito (ar jį persvarstyti), bankas turi gauti pakankamai informacijos, kad galėtų visokeriopai įvertinti prašomo kredito riziką. Iš kredito gavėjo bankas turi pareikalauti tiek informacijos, kad sprendimus dėl kredito suteikimo priimantys ir kredito riziką vertinantys darbuotojai, banko paskolų komitetas, vidaus ir išorės auditoriai galėtų tinkamai įvertinti kredito riziką prieš suteikiant kreditą ir galėtų tai daryti per visą terminą, likusį iki kredito sutarties galiojimo pabaigos.

25. Turi būti gauta visa reikiama informacija tinkamai skolininko kreditingumo analizei atlikti. Jei negauta visa reikiama informacija, teigiamas sprendimas vertinamas kaip padidintos rizikos ir turi būti nustatytos tinkamos riziką mažinančios priemonės.

26. Banke turi būti įdiegta skolininko pateiktų duomenų patikimumo tikrinimo sistema.

27. Neatitinkantys kreditavimo politikos, kitų dokumentų sandoriai gali būti patvirtinti tik pagrindus, kad minėtus sandorius būtina sudaryti. Šios pozicijos gali būti suteiktos tik nustačius papildomas kredito riziką mažinančias priemones. Banke tokie sandoriai turi būti registruojami, banko valdyba turi būti reguliariai informuojama apie tokių sandorių mastą ir įtaką kredito portfelio kokybei, laiku peržiūrimi vidaus tvarkose keliami reikalavimai.

28. Bankas turi sugebėti užtikrinti, kad susiję skolininkai bus nustatyti ir bus tinkamai įvertinta jų kredito rizika. Tuo tikslu bankas turi būti įdiegęs į savo kredito rizikos valdymo sistemą tinkamas kontrolės ir valdymo procedūras, skirtas identifikuoti tarpusavyje susijusius klientus ir stebėti tolimesnius tarpusavyje susijusių klientų grupės pasikeitimus. Pats tarpusavyje susijusių klientų identifikavimo procesas periodiškai peržiūrimas ir atnaujinamas siekiant užtikrinti jo veiksmingumą. Tarpusavyje susijusios klientų grupės identifikuojamos ir stebimos laikantis šių principų:

28.1. bankas siekia, kad tarpusavyje susijusių klientų identifikavimo procedūros būtų taikomos prieš suteikiant asmeniui poziciją, neatsižvelgiant į jos dydį. Minimaliai reikalaujama, kad šios identifikavimo procedūros būtų taikomos bent toms pozicijoms, kurių vertė viršija 2 proc. banko kapitalo, ir šis procesas pagrindžiamas dokumentais;

28.2. kliento priklausymas tarpusavyje susijusių klientų grupei identifikuojamas, kai pirmą kartą suteikiama pozicija arba kai ji pasiekia 2 proc. banko kapitalo, o vėlesni pasikeitimai stebimi atliekant periodinę suteiktos pozicijos peržiūrą ir tada, kai planuojama ją padidinti;

28.3. siekiant identifikuoti tarpusavyje susijusių klientų grupę, naudojami visi prieinami informacijos šaltiniai, įskaitant viešai skelbiamą informaciją apie klientų verslo ryšius arba kitokią tarpusavio ekonominę priklausomybę, kuri papildo banko informacinėse sistemose sukauptus duomenis, o automatizuotos identifikavimo proceso procedūros naudojamos kartu su kitais analizės būdais, įskaitant ekspertų vertinimą pasitelkus banko paskolų vadybininkus ir rizikos valdymo specialistus;

28.4. atskirai analizuojamos schemos su pagrindinio turto pozicija. Bankas turi įvertinti, ar pati schema arba jos pagrindinio turto pozicijos, arba jos abi yra susijusios su kitais banko klientais (įskaitant kitas schemas), ir todėl turėtų būti vertinami kaip vienas skolininkas siekiant riboti didelių pozicijų riziką. Kai schema su pagrindinio turto pozicija yra kolektyvinio investavimo subjektas, šiuo tikslu vertinama valdymo įmonė arba asmenys, kuriems priskiriamas turtas, į kurį yra investavęs kolektyvinio investavimo subjektas arba jie abu. Kai vertinami asmenys, kuriems priskiriamos schemos pagrindinio turto pozicijos, banke turi būti įdiegtos procedūros schemos pagrindinio turto pozicijų pokyčiams stebėti ir įvertinti bent kartą per mėnesį. Jei bankas nustato, kad keli asmenys, kuriems priskiriamos vienos ir tos pačios schemos pagrindinio turto pozicijos, yra tarpusavyje susiję, jie laikomi tarpusavyje susijusių klientų grupe siekiant riboti didelių pozicijų riziką, tačiau neprivaloma jiems taikyti visų procedūrų, skirtų banko klientų tarpusavio ryšiams identifikuoti ir stebėti.

Punkto pakeitimai:

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

29. Kai banko kredito rizika perleidžiama dėl pakeitimo vertybiniais popieriais sandorių, bankas turi turėti tokią vidaus politiką ir procedūras, kad galėtų užtikrinti, jog suteikdamas pozicijas, kurios bus visiškai arba iš dalies pakeistos vertybiniais popieriais, vadovausis tinkamais ir aiškiai apibrėžtais vertinimo kriterijais. Turi būti aiškus pozicijų suteikimo, keitimo, atnaujinimo ir refinansavimo procesas.

30. Kai rizika kyla dėl pakeitimo vertybiniais popieriais sandorių, bankas, kuris yra tokio sandorio iniciatorius, rėmėjas arba investuotojas, turi laikytis atitinkamų procedūrų, užtikrinančių, kad vertinant ir valdant riziką bus atsižvelgiama į ekonominį sandorio turinį.

31. Rekomenduojama, kad bankas, priimdamas sprendimą suteikti poziciją arba nesuteikti pozicijos, atsižvelgtų ir į jos pelningumą, užtikrindamas, kad tiesioginių ir netiesioginių sąnaudų ir pajamų projekcijos būtų kiek įmanoma detalesnės ir kad jas atliekant būtų įtraukiamos veiklos ir finansavimo sąnaudos, rizikos premija, atsižvelgiant į skolininko riziką, ir kapitalo kompensavimo sąnaudos.

32. Rekomenduojama, kad bent kartą per pusmetį bankas atliktų paskesniąją (angl. ex-post) kredito operacijų pelningumo analizę.

33. Atsižvelgdamas į sandorio mastą, bankas turi užtikrinti, kad priimant sprendimą suteikti poziciją (nesuteikti pozicijos) dalyvautų bent du darbuotojai ir kad visa su skolininko kreditingumu susijusi informacija taip pat būtų nagrinėjama ir specialiame, nepriklausomame nuo padalinių, atsakingų už pozicijų suteikimą ar atnaujinimą, banko struktūriniame padalinyje.

34. Vidinio skolinimo atveju ir kai skolinama su banku susijusiems asmenims, bankas turi įvertinti tokių sandorių pobūdį ir jiems taikomas sąlygas, kaip tai apibrėžta Lietuvos Respublikos bankų įstatymo (Žin., 2004, Nr. 54-1832) 52–53 straipsniuose, Lietuvos Respublikos centrinės kredito unijos įstatymo (Žin., 2000, Nr. 45-1288; 2004, Nr. 61-2181) 40–43 straipsniuose.

35. Bankas turi turėti tinkamą tarpusavyje susijusių klientų grupių vertinimo politiką.

36. Turi būti aiškiai apibrėžta ir dokumentuose aprašyta, kaip banke organizuojamas ir kontroliuojamas užtikrinimo priemonių vertinimo procesas.

37. Banko dokumentuose turi būti aprašytas banko kredito rizikos vertinimo metodų vidaus patikimumo vertinimo procesas:

37.1. bankai, priimdami sprendimą suteikti poziciją (nesuteikti pozicijos), turi reguliariai vertinti skolininkų kredito rizikos vertinimui, skolininkų ar pozicijų priskyrimui rizikos kategorijoms (rangams, rizikos grupėms), vertės sumažėjimo apskaičiavimui ar kituose su kredito rizika susijusiuose procesuose taikomų ekspertinių, statistinių arba mišrių metodų patikimumą, vadovaudamiesi, kiek tinka, Patikimumo vertinimo ir jo tikrinimo nuostatomis, patvirtintomis Lietuvos banko valdybos 2006 m. lapkričio 9 d. nutarimu Nr. 140 (Žin., 2006 Nr. 142-5444);

37.2. vertindamas statistinių metodų, nurodytų 37.1 punkte, patikimumą, bankas turi atsižvelgti tiek į faktinius mokėjimo terminų pradelsimo ir (arba) įsipareigojimų neįvykdymo atvejus, tiek į teisinę ir ekonominę aplinką bei savo vidaus kreditavimo praktiką.

38. Banke turi būti sukurta tokia pavienių kreditų rizikos stebėjimo ir vertinimo sistema, kuri užtikrintų kredito sutarčių laikymosi kontrolę, skolininko finansinė būklės ir rizikos stebėjimą ir įvertinimą laiku, siekiant iš anksto nustatyti galimus probleminius kreditus, informacijos ir reikiamų dokumentų perdavimą laiku su probleminiais kreditais dirbančiam banko struktūriniam padaliniui ir pan.

39. Banko kredito rizikos valdymo (vertinimo) vidaus kontrolės sistema turi būti tokia, kad bankas turėtų:

39.1. priemonių, leidžiančių užtikrinti informacijos, naudojamos priimant sprendimą suteikti poziciją (nesuteikti pozicijos), priskiriant skolininkus arba pozicijas rizikos kategorijoms (rangams arba rizikos grupėms), apskaičiuojant vertės sumažėjimą, kapitalo pakankamumą ir kt., patikimumą ir išsamumą, teisės aktų laikymąsi;

39.2. aiškiai apibrėžtą ir dokumentuose aprašytą pozicijų peržiūros procesą, kuris nepriklauso nuo kreditavimo funkcijos:

39.2.1. bankas turi reguliariai peržiūrėti savo skolininkų kreditingumo ir pozicijų kokybę, jos pokyčius. Kai yra pradelsti mokėjimo terminai, pozicijos vertė sumažėjo, arba kai, banko nuomone, skolininko rizika arba pozicijos suma yra reikšminga, bent kartą per ketvirtį tokių peržiūrų metu bankas turi:

39.2.1.1. nustatyti, ar skolininkai (pozicijos) išlieka teisingai priskirti tam tikrai vidaus rizikos kategorijai (rangui, rizikos grupei);

39.2.1.2. jei reikia, priskirti skolininkus (pozicijas) kitai kategorijai. Skolininko (pozicijos), nurodyto (apibrėžtos) 39.2.1 punkte, rizikos kategorija (rangas, rizikos grupė) turi būti peržiūrima ir, jei reikia, atnaujinama kiekvieną kartą, kai gaunama nauja su skolininku (pozicija) susijusi informacija, tačiau ne rečiau kaip kartą per ketvirtį. Kitų skolininkų (pozicijų), nenurodytų 39.2.1 punkte, (ar reprezentatyvios jų imties) rizikos kategorija (rangas, rizikos grupė) turi būti peržiūrima ir, jei reikia, atnaujinama bent kartą per metus. Tačiau bankas turi pradėti naują priskyrimo procesą, jei gauna reikšmingos informacijos apie skolininką arba poziciją;

39.2.2. bankas turi būti parengęs ir įdiegęs detalias procedūras ir sistemas, kad galėtų stebėti savo skolininkų kreditingumo ir pozicijų kokybę bei jos pokyčius;

39.2.3. turi būti aiškiai apibrėžtas ir dokumentuose aprašytas banko valdybos, rizikos valdymo ir vidaus audito komitetų ir (arba) kitų atitinkamų su pozicijų peržiūros, skolininkų (pozicijų) priskyrimo rizikos kategorijoms (rangams, rizikos grupėms) ir vertės sumažėjimo apskaičiavimo procesais susijusių padalinių ar darbuotojų bendravimas (t. y. rašytinės politikos ir procedūros, ataskaitos vadovams, audito programos, susitikimų protokolai ir pan.).

39.2.4. visų darbuotojų atsakomybė ir funkcijos 39.2.3 punkte aprašytuose procesuose turi būti aiškiai apibrėžtos ir aprašytos dokumentuose.

IV. PREKYBOS KNYGOJE ĮVARDIJAMOS RIZIKOS VALDYMAS

40. Bankas turi turėti tokias savo sąskaita sudaromų sandorių stebėjimo sistemas, kad galėtų bent kartą per dieną:

40.1. registruoti prekybos knygos sandorius, apibrėžtus Kapitalo pakankamumo skaičiavimo bendrųjų nuostatų 541 punkte, apskaičiuoti rezultatus ir nustatyti pozicijas tokiu pačiu dažnumu;

40.2. matuoti prekybos knygos pozicijų, susijusių tiek su specifine, tiek su bendrąja palūkanų normos rizika, riziką, kaip apibrėžta Kapitalo pakankamumo skaičiavimo bendrųjų nuostatų V skyriaus VI skirsnio 2.1–2.2 dalyse, ir vertinti banko prekybos knygos pozicijų įtaką kapitalo pakankamumui.

41. Bankas turi užtikrinti, kad reguliariai vertins riziką, kuri jam kiltų dėl rinkos arba, jei aktualu, dėl tam tikro atskiro rinkos segmento parametrų reikšmingų pokyčių. Parametrų ir prielaidų, naudojamų vertinant riziką, pagrįstumas ir patikimumas turi būti reguliariai peržiūrimi.

42. Bankas, kuris valdydamas prekybos knygoje įvardijamą riziką taiko rizikos vertės (angl. value-at-risk) modelius, turi laikytis Kapitalo pakankamumo skaičiavimo bendrųjų nuostatų V skyriaus V skirsnio 4 dalyje pateiktų kokybinių reikalavimų, keliamų vidaus modeliams.

43. Prekybos knygoje įvardijamos rizikos vertinimo rezultatai turi būti reguliariai pateikiami banko vadovams.

V. PALŪKANŲ NORMOS RIZIKOS VALDYMAS

44. Bankas turi turėti palūkanų normos rizikos vertinimo sistemą, kurią naudodamas galėtų:

44.1. įvertinti esamas ir numatomas pozicijas ir srautus, susijusius su visais sandoriais (įtraukiamais tiek į balansinius, tiek į nebalansinius banko finansinių ataskaitų straipsnius);

44.2. nustatyti įvairius skirtingus palūkanų normos riziką lemiančius veiksnius, susijusius su vykdomais sandoriais;

44.3. periodiškai įvertinti šių palūkanų normos riziką lemiančių veiksnių įtaką (ypač kai jie yra reikšmingi) banko veiklos rezultatams ir kapitalo pakankamumui.

45. Bankas turi užtikrinti, kad reguliariai vertina riziką, kuri kiltų dėl reikšmingų rinkos parametrų pokyčių.

46. Bankas turi nustatyti tikslų su naujais produktais, sandoriais ir naujomis veiklos sritimis susijusios palūkanų normos rizikos laipsnį ir užtikrinti, kad prieš pradėdamas įgyvendinti naujas produktų, apsidraudimo arba pozicijų prisiėmimo strategijas bankas įdiegs atitinkamas procedūras ir rizikos kontrolės sistemas.

47. Bankas turi atsižvelgti į:

47.1. perkainojimo riziką: šią riziką bankas patiria, kai yra turto ir įsipareigojimų grąžinimo (fiksuotų palūkanų normų priemonės) ir kainų pokyčių terminų (kintamųjų palūkanų normų priemonės) neatitikimų. Kai finansinės priemonės yra su kintamąja palūkanų norma, bankas patiria riziką, kad šios priemonės vertė sumažės, bankui nepalankia linkme pakitus palūkanų normai, pvz., jei bankas ilgalaikę paskolą su pastovia palūkanų norma finansavo trumpalaikiu indėliu su kintančia palūkanų norma, tai, pakilus palūkanų normos lygiui ir suėjus terminui mokėti palūkanas už indėlį, bankui tektų sumokėti jų daugiau, tuo tarpu iš skolininko gaunami paskolos pinigų srautai išliktų nepakitę;

47.2. palūkanų normos kreivės riziką: ši rizika kyla, kai keičiasi palūkanų normos kreivės forma ir (arba) nuolydis. Šie pokyčiai daro įtaką ekonominei vyriausybės obligacijų vertei ir palūkanų pajamoms, gaunamoms iš vyriausybės obligacijų;

47.3. bazės riziką: ši rizika kyla, kai bankas sudaro ateities sandorius, nes yra netobulas ateities sandorių rinkos kainų ir neatidėliotinų (angl. spot) sandorių rinkos kainų santykis (atitikimas). Dėl to nuo ateities sandorio pozicijos atidarymo iki jos uždarymo atsiranda bazinė rizika.

48. Bankas, vertindamas palūkanų normos riziką, gali naudoti tokius vidinius limitus:

48.1. minimalų suteiktų paskolų vidutinių palūkanų normų limitą;

48.2. maksimalų terminuotųjų indėlių vidutinių palūkanų normų limitą;

48.3. maksimalų kliento lėšų vidutinių palūkanų normų limitą;

48.4. minimalų pajamų duodančio turto ir su išlaidomis susijusių įsipareigojimų palūkanų normų skirtumo limitą;

48.5. minimalų grynosios palūkanų normos (maržos) limitą;

48.6. tarpbankinių paskolų (terminuotųjų indėlių) bankams ir kitoms finansų įstaigoms limitus;

48.7. turto ir įsipareigojimų skirtumų pagal terminus ataskaitinio laikotarpio pabaigoje limitus.

49. Banko valdyba arba kitas banko valdybos paskirtas padalinys turi užtikrinti, kad banke veiks tokia aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo ir kontrolės sistema bei procedūros, kad:

49.1. limitams nustatyti naudojami rodikliai būtų nuosekliai naudojami ir kitoje banko veikloje;

49.2. būtų aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonė (angl. soft limits);

49.3. būtų aiškiai nustatyta, ar į limitus bus atsižvelgiama ir (ar) jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą vykdyti konkretų sandorį arba jo nevykdyti, ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);

49.4. bankas galėtų reguliariai įvertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;

49.5. būtų aiškiai nustatyti veiksmai, kaip bus elgiamasi, jei bus viršyti konkretūs limitai, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;

49.6. būtų galima, jei reikia, patikslinti esamus arba pradėti taikyti naujus limitus ir (arba) kitus apribojimus;

49.7. reikalauti, kad būtų reguliariai pateikiama informacija apie vidinių limitų viršijimo atvejus.

Punkto pakeitimai:

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

50. Banke turi veikti tinkama vadovų informavimo sistema, t. y.:

50.1. Jeigu yra reikšmingų su palūkanų normos rizika susijusių pokyčių tikimybė, apie šiuos tikėtinus pokyčius turi būti informuojama nedelsiant.

50.2. Banko valdyba (arba kitas banko valdybos paskirtas padalinys) turi periodiškai stebėti palūkanų normos lygį ir valdymą bei laiku gauti informaciją, kuri būtų pakankamai išsami ir leistų įvertinti tiek pagrindiniams banko portfeliams, tiek bendrai visam bankui kylančią palūkanų normos riziką.

50.3. Banko valdyba (arba rizikos valdymo komitetas) turi būti informuojama apie visus vidinių limitų viršijimo atvejus ir patikimumo vertinimo rezultatus.

51. Banke turi būti reguliariai vertinamas limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumas. Patikimumo vertinimo proceso metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai turi būti aprašyti dokumentuose.

52. Jei, Lietuvos banko nuomone, palūkanų normos pakinta staigiai ir netikėtai, bankas turi Lietuvos banko prašymu pateikti informaciją apie tai, kokį poveikį šis pokytis turėjo kapitalo pakankamumui.

VI. ATSISKAITYMŲ RIZIKOS VALDYMAS

53. Bankas turi turėti atsiskaitymų rizikos vertinimo sistemą:

53.1. Bankas turi įrodyti, kad vertindamas skirtingų finansinių priemonių atsiskaitymų riziką atsižvelgia į įvairius atsiskaitymų proceso etapus, t. y.:

53.1.1. galutinį mokėjimo pavedimo vienašališko atšaukimo terminą,

53.1.2. galutinį lėšų, susijusių su įsigytomis finansinėmis priemonėmis, gavimo terminą,

53.1.3. laiko momentą, kai užregistruojamas galutinis lėšų gavimas arba neapmokėjimas.

53.2. Bankas turi turėti procedūras, leidžiančias stebėti iškylančią ir numatomą atsiskaitymų riziką, kai bankas pradeda vykdyti naujus sandorius arba kai sandoriai, už kuriuos dar neatsiskaityta, apima kelis skirtingus atsiskaitymų proceso etapus.

VII. LIKVIDUMO RIZIKOS VALDYMAS

54. Banko valdyba turi užtikrinti, kad likvidumo rizikos valdymo politika atitiktų banko rizikos lygį, rizikos reikšmę finansų sistemai ir banko veiklą. Banko valdyba įvertina riziką, susijusią su turto ir įsipareigojimų terminų pakeitimu, ir užtikrina, kad palaikomas atitinkamas finansavimo lygis. Strategijoje, politikoje ir praktikoje atsižvelgiama į banko veiklą įprastomis ir nepalankiomis sąlygomis. Su likvidumo politikos nuostatomis supažindinami visi su likvidumo rizikos valdymu susiję banko darbuotojai. Šią politiką patvirtina ir reguliariai peržiūri banko valdyba. Likvidumo rizikos valdymo politikoje numatoma:

54.1. banko prisiimamos likvidumo rizikos lygis;

54.2. likvidumo rizikos vertinimo metodai (modeliai);

54.3. taikomi limitai ir (arba) kiti likvidumo rizikos apribojimai;

54.4. likvidumo rizikos stebėjimo ir kontrolės procesas;

54.5. einamojo, trumpojo, vidutinio ir ilgojo laikotarpių likvidumo valdymo principai;

54.6. skirtingų valiutų pozicijų likvidumo rizikos valdymas;

54.7. atitinkamų finansinių priemonių naudojimas valdant likvidumo riziką;

54.8. atskirų turto rūšių likvidumo aprašymas;

54.9. finansavimo šaltinių diversifikavimas pagal finansines priemones, lėšų skolintojus, geografines sritis ir pan.;

54.10. likvidumo rizikos valdymo procedūros, kai yra trumpalaikių ir ilgalaikių likvidumo trikdžių;

54.11. banko naudojami einamųjų įsipareigojimų planavimo būdai;

54.12. likvidumo atsargos ir likvidumo atsvaros pajėgumo nustatymo tvarka.

Punkto pakeitimai:

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

55. Banko organizacinė struktūra turi būti tokia, kad bankas galėtų veiksmingai valdyti likvidumo riziką, vykdyti nustatytą likvidumo rizikos valdymo strategiją, t. y. turi būti užtikrintas tinkamas funkcijų atskyrimas, siekiant išvengti interesų konflikto, ir veiksminga vidaus kontrolės sistema.

56. Banke turi veikti tinkama vadovų informavimo sistema:

56.1. Jeigu yra reikšmingų pokyčių tikimybė esamoje arba būsimoje banko likvidumo situacijoje, apie šiuos pokyčius turi būti informuojama nedelsiant.

56.2. Banko valdyba (arba kitas banko valdybos paskirtas padalinys) turi periodiškai stebėti likvidumo rizikos lygį ir valdymą bei laiku gauti informaciją, kuri būtų pakankamai išsami ir leistų įvertinti tiek pagrindiniams banko portfeliams, tiek bendrai visam bankui kylančią likvidumo riziką.

56.3. Kai banke yra, jo nuomone, reikšminga tam tikros rūšies likvidaus turto arba einamųjų įsipareigojimų koncentracija arba kai yra prielaidų reikšmingiems šio turto ir (arba) įsipareigojimų sudėties pokyčiams, informacija apie tokį turtą ir (arba) įsipareigojimus banko valdybai arba kitam banko valdybos paskirtam padaliniui turi būti pateikiama dažniau.

56.4. Banko valdyba (arba rizikos valdymo komitetas) turi būti informuojama apie visus vidinių limitų viršijimo atvejus.

57. Banko valdyba arba kitas banko valdybos paskirtas padalinys turi užtikrinti, kad:

57.1. likvidumo rizika bus veiksmingai valdoma, likvidumo rizikos valdymo politika (politikos) ir procesai atitiks banko prisiimamos likvidumo rizikos lygį, atsižvelgus į esamą ir numatomą ateityje veiklą. Banke turi būti taikomi bent keletas limitų, kurie tinkamai apribotų riziką. Bankas gali taikyti:

57.1.1. limitą įeinančių ir išeinančių piniginių srautų skirtumui nesutampant tam tikro periodo kaupiamajam pinigų srautui (t. y. esant likvidumo skirtumui). Kaupiamasis grynojo finansavimo (likvidumo) poreikis (angl. net financing (liquidity) requirements) gali būti išreiškiamas procentais nuo visų įsipareigojimų. Šis nesutapimas turėtų būti vertinamas konservatyviai, atsižvelgus į galimą kainos svyravimą ir kainos mažėjimą, jei pardavimas yra priverstinis, bei į kt. veiksnius;

57.1.2. likvidaus turto ir einamųjų įsipareigojimų santykį;

57.1.3. banko einamųjų įsipareigojimų ir likvidžių lėšų skirtumo bei viso banko turto ir likvidžių lėšų skirtumo santykį;

57.1.4. lėšų banko korespondentinėse sąskaitose ir įsipareigojimų bankams korespondentams skirtumo limitus;

57.1.5. banko korespondentinių sąskaitų minimalių likučių pagal valiutas darbo dienos pabaigoje limitus;

57.2. banke veiktų tokia aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo ir kontrolės sistema ir procedūros, kad:

57.2.1. limitams nustatyti naudojami rodikliai būtų nuosekliai naudojami ir kitoje banko veikloje;

57.2.2. būtų aiškiai nustatyta, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonės (angl. soft limits);

57.2.3. būtų aiškiai nustatyta, ar į limitus bus atsižvelgiama ir jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą vykdyti arba nevykdyti konkretų sandorį, ar bus atliekama paskesnioji limitų laikymosi stebėsena (angl. ex-post monitoring);

57.2.4. bankas galėtų reguliariai vertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;

57.2.5. būtų aiškiai nustatyta, kaip bus elgiamasi viršijus konkrečius limitus, ir apibrėžta su tuo susijusių darbuotojų atsakomybė;

57.2.6. būtų galima, jei reikia, patikslinti esamus arba pradėti taikyti naujus limitus ir (arba) kitus apribojimus;

57.2.7. reikalauti, kad būtų reguliariai pateikiama informacija apie banko likvidumo rizikos lygį ir vidaus limitų viršijimą;

57.3. banko vidaus metodikos apimtų likvidumo rizikos nustatymą, vertinimą, stebėseną ribojimą ir likvidumo rizikos mažinimo priemones, tokias kaip finansavimo šaltinių diversifikavimas ir pan.;

57.4. būtų atliekamas reguliarus naudojamų metodikų, nurodytų 57.3 punkte, patikimumo vertinimas. Patikimumo vertinimo proceso metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai aprašomi dokumentuose. Apie patikimumo vertinimo rezultatus reguliariai informuojama banko valdyba. Bankas turi reguliariai:

57.4.1. peržiūrėti naudotas prielaidas arba ekspertinius vertinimus;

57.4.2. tikrinti, ar taikant vidaus metodiką (metodikas), atsižvelgiama į visus reikšmingus įeinančius ir išeinančius pinigų srautus, įskaitant ir pinigų srautus, atsirandančius dėl nebalansinių straipsnių;

57.4.3. tikrinti, ar naudojama metodika (metodikos) tinka, atsižvelgus į banko prisiimtos rizikos pobūdį ir mastą;

57.4.4. atlikti paskesniąją (angl. ex-post) naudojamų metodikų peržiūrą ir grįžtamąjį patikrinimą (angl. back-testing);

57.5. užduotys, atsakomybė ir tikslai būtų aiškiai paskirstyti tiek konkrečiame banke atitinkamiems darbuotojams ir (arba) struktūriniams padaliniams, tiek finansinėje grupėje.

58. Rekomenduojama, kad banke būtų parengtas ir vidaus dokumentuose (tvarkose) aprašytas tinkamas vidaus likvidumo rizikos įkainojimo ir paskirstymo mechanizmas, t. y. kad su likvidumo rizikos valdymu susijusios išlaidos būtų tinkamai paskirstytos tarp verslo linijų (struktūrinių padalinių) pagal likvidumo poreikį, atsižvelgus į likvidumo rizikos valdymo politiką.

59. Banke turi būti nuolat vertinamas ir stebimas grynojo finansavimo (likvidumo) poreikis, pvz., gali būti:

59.1. svarstomi keli alternatyvūs likvidumo scenarijai. Bankas gali nagrinėti tikėtiną skirtingų scenarijų įtaką likvidumui ir pagal tai nustatyti 57.1 punkte minimus limitus;

59.2. įdiegti einamųjų įsipareigojimų diversifikaciją užtikrinantys limitai;

59.3. parengti ir reguliariai peržiūrimi veiklos tęstinumo (išlikimo užtikrinimo) esant likvidumo krizei planai.

60. Turi būti aiškiai apibrėžtas banko finansavimo ištikus likvidumo krizei procesas, jei šį finansavimą numatyta gauti iš globojančių (patronuojančių) bankų.

61. Bankas turi vertinti bendrą likvidumą pagal visas pozicijas užsienio valiuta, taip pat turi turėti ir savo pozicijų pagal atskiras konkrečias valiutas vertinimo, stebėjimo ir kontrolės sistemą. Bankas gali nustatyti ir reguliariai peržiūrėti bendrus pinigų srautų nesutapimo (likvidumo skirtumo) limitus pagal visas pozicijas užsienio valiuta ir atskirai pagal kiekvieną konkrečią užsienio valiutą.

62. Banke turi veikti mechanizmas, užtikrinantis, jog bankas pakankamai suteiktų visuomenei informacijos, leidžiančios susidaryti nuomonę apie banko patikimumą.

VIII. KONCENTRACIJOS RIZIKOS VALDYMAS

63. Bankas turi turėti koncentracijos rizikos valdymo politiką, kurią tvirtina ir reguliariai peržiūri banko valdyba arba banko valdybos paskirtas padalinys.

64. Koncentracijos rizika valdoma vadovaujantis proporcingumo principu, t. y. atsižvelgus į banko veiklos mastą ir pobūdį, prisiimamą riziką ir atliekamas operacijas.

65. Valdant koncentracijos riziką atsižvelgiama į ekonominės aplinkos pokyčius, taip pat vertinama tų pokyčių įtaka (ypač kritinėmis situacijomis) koncentracijos rizikos lygiui.

66. Koncentracijos rizikos valdymas turi būti neatsiejama banko vidaus kapitalo pakankamumo vertinimo proceso (angl. Internal Capital Adequacy Assessment Process, ICAAP) dalis.

67. Užtikrindama koncentracijos rizikos valdymą banke banko valdyba arba banko valdybos paskirtas padalinys:

67.1. tvirtina koncentracijos rizikos (įskaitant koncentracijos riziką sukeliančius veiksnius) nustatymo, vertinimo, stebėjimo ir atskaitomybės procedūras;

67.2. nustato aiškias darbuotojų, įtrauktų į koncentracijos rizikos valdymo procesą, atsakomybės ribas, taip pat užtikrina tinkamą funkcijų atskyrimą siekiant išvengti interesų konflikto;

67.3. užtikrina, kad valdymas apima visas su koncentracijos rizika susijusias balansines ir nebalansines pozicijas;

67.4. užtikrina, kad banke reguliariai atliekama visų svarbiausių su koncentracijos rizika susijusių pozicijų faktinių charakteristikų (pvz., pelningumo, mokėjimo terminų pradelsimo, skolininkų rizikingumo) analizė;

67.5. nustato bankui reikšmingus koncentracijos rizikos šaltinius, t. y. tuos, kuriuos stebės ir kontroliuos, ir apibrėžia, kaip jie bus matuojami, kokie koncentracijos rizikos vertinimo metodai bus taikomi;

67.6. tvirtina koncentracijos rizikos testavimo nepalankiausiomis sąlygomis procedūras, vadovaudamasi Testavimo nepalankiausiomis sąlygomis bendrosiomis nuostatomis, patvirtintomis Lietuvos banko valdybos 2007 m. spalio 11 d. nutarimu Nr. 133 (Žin., 2007, Nr. 109-4486), ir kitas koncentracijos rizikos valdymo priemones, pvz., su pozicijomis susijusios rizikos perleidimas trečiosioms šalims (kredito išvestinės finansinės priemonės, užtikrinimo priemonės, garantijos, pakeitimas vertybiniais popieriais); vidaus kapitalo dalies, skirtos koncentracijos rizikai padengti, padidinimas; tam tikro skaičiaus didžiausių individualių banko pozicijų vertės ir banko kapitalo, turto, grynojo pelno arba kito rodiklio santykio procentinio limito nustatymas; tam tikro skaičiaus didžiausių banko pozicijų susijusiems skolininkams vertės ir banko kapitalo, turto, grynojo pelno arba kito rodiklio santykio procentinio limito nustatymas; Herfindahl-Hirschmann indekso (HHI) taikymas; Gini koeficiento metodas; modeliais pagrįsti metodai ir kitos priemonės;

67.7. užtikrina koncentracijos rizikos valdymą dviem lygiais:

67.7.1. koncentracijos rizikos kitų rizikos rūšių viduje (angl. intra-risk concentrations) valdymą. Koncentracijos rizika kitų rizikos rūšių viduje – tikimybė, kad rizikos koncentracijos lygis tam tikros rūšies rizikos (pvz., kredito, prekybos knygoje įvardijamos rizikos) viduje gali būti pakankamai aukštas, kad sukeltų bankui nepageidaujamų nuostolių dėl tos rūšies rizikos pozicijų tarpusavio sąveikos;

67.7.2. koncentracijos rizikos tarp skirtingų rizikos rūšių (angl. inter-risk concentrations) valdymą. Koncentracijos rizika tarp skirtingų rizikos rūšių – tikimybė, kad rizikos koncentracijos lygis tarp skirtingų rizikos rūšių (pvz., kredito ir likvidumo rizikos, prekybos knygoje įvardijamos ir likvidumo rizikos) gali būti pakankamai aukštas, kad sukeltų bankui nepageidaujamų nuostolių dėl skirtingos rizikos pozicijų tarpusavio sąveikos;

67.8. užtikrindama koncentracijos rizikos kitų rizikos rūšių viduje valdymą tvirtina metodologiją, kuria vadovaudamiesi atsakingų banko padalinių darbuotojai galėtų:

67.8.1. atsižvelgus į kredito rizikos koncentracijos lygį vertinti kredito rizikos koncentraciją pagal tam tikrus klientus, produktus, ekonominės veiklos sektorius arba geografinį pozicijų išsidėstymą. Atlikdami šį vertinimą, atsakingų banko padalinių darbuotojai stebi ir testuoja dideles pozicijas, susijusių skolininkų pozicijas, pozicijas tuose pačiuose ekonominės veiklos sektoriuose, geografiniuose regionuose, pozicijas, susidariusias dėl panašios veiklos arba biržos prekių, pozicijas, susidariusias dėl kredito rizikos mažinimo priemonių, taip pat dideles netiesiogines pozicijas, pvz., didelės pozicijos, susidariusios dėl užtikrinimo priemonių teikimo iš vieno teikėjo;

67.8.2. atsižvelgus į prekybos knygoje įvardijamos rizikos koncentracijos lygį vertinti šios rizikos koncentraciją, kad būtų nustatytos pozicijų ta pačia valiuta koreliacijos, pozicijų palūkanų normų koreliacijos, pozicijų, susidariusių dėl tų pačių biržos prekių, koreliacijos, prekybai laikomų pozicijų ir bankinės knygos pozicijų koreliacijos, koreliacijų įtaka prisiimamos banko prekybos knygoje įvardijamos rizikos lygiui ir atitinkamų portfelių vertei. Be to, jeigu banko veikloje taikomi rizikos vertės (angl. Value-at-risk, VaR) modeliai, atsakingų banko padalinių darbuotojai stebi ir vertina atitinkamas pozicijas ir joms nustatytus limitus, siekdami išvengti per didelės koncentracijos pagal šias pozicijas;

67.8.3. atsižvelgus į operacinės rizikos koncentracijos lygį vertinti operacinės rizikos koncentraciją pagal pozicijas, susidariusias dėl tam tikrų rizikos mažinimo priemonių taikymo, banko priklausomybės nuo tam tikro informacinių technologijų paslaugų teikėjo, tam tikro draudimo paslaugų teikėjo, nuo tų pačių verslo procesų. Taip pat vertinamas pozicijų pažeidžiamumas dėl sukčiavimo, technologinių ir panašių sutrikimų, kitų su žmogiškuoju faktoriumi susijusių veiksnių koreliacijos;

67.8.4. atsižvelgus į likvidumo rizikos koncentracijos lygį vertinti likvidumo rizikos koncentraciją pagal turto ir įsipareigojimų struktūrą, finansavimo rūšis, tarpbankinės rinkos veiksnių koreliaciją, iš nebalansinių straipsnių kylančius likvidumo poreikius, lėšų šaltinius, pozicijų terminų neatitikimus;

67.8.5. vertinti kitas reikšmingas rizikos rūšis, atsižvelgus į koncentracijos lygį;

67.9. užtikrindama koncentracijos rizikos tarp skirtingų rizikos rūšių valdymą, tvirtina metodologiją, kuria vadovaudamiesi atsakingų banko padalinių darbuotojai galėtų valdyti koncentracijos lygį vertindami:

67.9.1. kredito rizikos ir likvidumo rizikos koreliaciją, atsižvelgus į tai, kad skolininko finansinės būklės pablogėjimas gali turėti neigiamą įtaką banko pinigų srautams ir atitinkamai banko gebėjimui laiku vykdyti įsipareigojimus;

67.9.2. prekybos knygoje įvardijamos rizikos ir likvidumo rizikos koreliaciją, atsižvelgus į tai, kad tokių rinkos kintamųjų, kaip valiutų kursai, palūkanų normos, biržos prekių kainos ir kitų, svyravimai, taip pat sandorio šalies finansinė būklė, atsiskaitymų rizikos veiksniai, didelės pozicijos prekybos knygoje gali turėti neigiamą įtaką banko gebėjimui laiku vykdyti įsipareigojimus;

67.9.3. prekybos knygoje įvardijamos rizikos ir kredito rizikos koreliaciją, atsižvelgus į tai, kad tokių rinkos kintamųjų, kaip valiutų kursai, palūkanų normos, biržos prekių kainos ir kitų, svyravimai, taip pat sandorio šalies finansinė būklė, atsiskaitymų rizikos veiksniai, didelės pozicijos prekybos knygoje gali turėti neigiamą įtaką banko veiklos rezultatams;

67.9.4. operacinės rizikos ir kredito rizikos koreliaciją, atsižvelgus į tai, kad operacinės rizikos įvykiai, susiję su sukčiavimu, darbo sauga, žala fiziniam turtui, verslo sutrikdymu ir sistemų trikdžiais, taip pat kredito rizikos mažinimo priemonių (pvz., draudimo) taikymas ir kredito rizikos mažinimo priemonių teikėjo kreditingumas gali turėti neigiamą įtaką banko veiklos rezultatams;

67.9.5. kitas reikšmingas koreliacijas tarp skirtingų rizikos rūšių, galinčias turėti neigiamą įtaką banko veiklai;

67.10. užtikrina, kad banke veiks aiškiai apibrėžta ir dokumentuose aprašyta limitų ir kitų apribojimų nustatymo, stebėjimo, kontrolės sistema ir procedūros (toliau – limitų sistema), kurios atitiks šiuos reikalavimus:

67.10.1. limitų sistema turi riboti banko prisiimamos rizikos lygį ir apimti reikšmingas koncentracijos rizikos veiksnių koreliacijas;

67.10.2. limitų sistema tvirtinama tiek individualiai banke, tiek konsoliduotoje banko grupėje, apimant balansines ir nebalansines pozicijas;

67.10.3. nustatant limitus naudojami rodikliai nuosekliai taikomi ir kitoje banko veikloje, pvz., šie rodikliai suderinami su rodikliais, naudojamais priimant sprendimą suteikti poziciją (nesuteikti pozicijos);

67.10.4. taikant limitų sistemą aiškiai nustatoma, ar konkrečių limitų turi būti griežtai laikomasi (angl. hard limits), ar šie limitai bus naudojami tik kaip išankstinio įspėjimo priemonės (angl. soft limits);

67.10.5. taikant limitų sistemą aiškiai nustatoma, ar į limitus bus atsižvelgiama ir jų laikymasis bus vertinamas iš anksto (angl. ex-ante monitoring), pvz., prieš priimant sprendimą suteikti poziciją arba nesuteikti pozicijos, ar bus atliekama vėlesnė limitų laikymosi stebėsena (angl. ex-post monitoring);

67.10.6. limitų sistema organizuojama taip, kad bankas galėtų reguliariai vertinti, ar nustatyti limitai ir (arba) kiti apribojimai tikslingi ir patikimi;

67.10.7. limitų sistemoje aiškiai numatoma, kaip bus elgiamasi, jei viršijami konkretūs limitai, ir apibrėžiama su tuo susijusių darbuotojų atsakomybė;

67.10.8. limitų sistemoje numatoma galimybė (pagal poreikį) patikslinti (pradėti taikyti) naujus limitus ir (arba) kitus apribojimus.

67¹. Banke reguliariai vertinamas limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumas. Patikimumo vertinimo metodiniai aspektai ir faktinių reguliariai atliekamų patikimumo vertinimų rezultatai aprašomi dokumentuose.

67². Banke turi būti tinkamai organizuota valdymo organų informavimo sistema, t. y. banko vadovams turi būti suteikta galimybė nuolat stebėti koncentracijos rizikos lygį ir laiku priimti tinkamus su koncentracijos rizikos valdymu susijusius sprendimus. Banko vadovai laiku, patikimai ir pakankamai išsamiai informuojami apie limitų struktūrą (kokie limitai nustatomi ir kokio yra dydžio, atsižvelgus į su koncentracijos rizika susijusių pozicijų atsiradimą konkrečiose verslo linijose, tam tikruose geografiniuose regionuose, ekonomikos sektoriuose, pagal tam tikrus verslo subjektus); koncentracijos rizikos lygį; limitų laikymąsi ir viršijimą; kokių priemonių imtasi siekiant išvengti limitų viršijimo arba, jeigu limitų viršijimas jau nustatytas, kokių priemonių imtasi, kad jis būtų pašalintas; kiekybinius ir kokybinius koncentracijos rizikos rodiklius dviem lygiais, aprašytais šių Nuostatų 67.7 punkte; reikšmingus koncentracijos riziką sukeliančius veiksnius ir priemones, kurių imtasi siekiant sumažinti šią riziką; banko nustatytų limitų ir kitų apribojimų bei jų nustatymo metodų, stebėjimo ir kontrolės sistemų bei procedūrų patikimumo vertinimą.

Skyriaus pakeitimai:

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

IX. OPERACINĖS RIZIKOS VALDYMAS

68. Banko valdyba privalo užtikrinti, kad banke bus sukurta veiksminga operacinės rizikos valdymo sistema, apimanti operacinės rizikos, kurią bankas prisiima arba gali prisiimti, prisiėmimo, vertinimo, stebėjimo, kontrolės ir rizikos mažinimo procesus bei priemones. Operacinės rizikos valdymas banke vykdomas vadovaujantis banko valdybos patvirtinta operacinės rizikos valdymo politika, kuri reguliariai peržiūrima. Ši politika turi apimti operacinės rizikos, kurią bankas prisiima arba gali prisiimti, prisiėmimo, vertinimo, stebėjimo, kontrolės ir rizikos mažinimo procesus bei priemones.

69. Bankas turi nustatyti ir įvertinti operacinę riziką, būdingą visiems produktams, veikloms, procesams ir sistemoms, kurie banko požiūriu yra reikšmingi ir turi būti įtraukiami į operacinės rizikos valdymo sistemą, įskaitant tokias sritis, kaip banko veiklą papildančių paslaugų pirkimas (angl. outsourcing), naujo produkto (paslaugos) įdiegimas, banko informacinių sistemų funkcionavimas ir kita.

70. Banke turi būti įdiegta veiksminga vadovų informavimo sistema, užtikrinanti, kad banko valdyba reguliariai informuojama apie pagrindinius operacinės rizikos, kaip atskiros rizikos rūšies, aspektus. Banke turi būti aiškiai nustatytos sprendimų priėmimo procedūros, atsižvelgus į vadovams pateiktą informaciją apie operacinės rizikos lygį ir valdymą.

71. Banko valdyba privalo užtikrinti, kad banko vidaus kontrolė apims tokius operacinės rizikos valdymo klausimus, kaip operacinės rizikos šaltinių nustatymas, vertinimas bei stebėjimas, pasirinktų operacinės rizikos valdymo metodų tinkamumo bei pagrįstumo vertinimas, istorinių duomenų apie operacinę riziką kaupimo proceso vertinimas, ir kitus banko požiūriu svarbius klausimus.

72. Vidaus kontrolės sistemoje vertinami šie pagrindiniai operacinės rizikos šaltiniai:

72.1. informacinės sistemos (techninės ir programinės įrangos, telekomunikacinių sistemų sutrikimai ir kt.);

72.2. žmogiškojo veiksnio įtaka:

72.2.1. neteisėti banko darbuotojų veiksmai (pvz., sąmoningai pateikiama neteisinga informacija; piktnaudžiavimas suteiktais įgaliojimais; vagystė; prekyba, pasinaudojus banko vidaus informacija; neteisėtos išmokos darbuotojams; netinkamai naudojama konfidenciali informacija; pinigų plovimas; draudžiamų paslaugų teikimas ir kt.);

72.2.2. ne banko darbuotojų neteisėti veiksmai (plėšimas, klastojimas, įsilaužimas į kompiuterines sistemas ir kt.);

72.2.3. darbo sąlygos (saugių darbo sąlygų pažeidimas ir kt.);

72.2.4. klaidos (neteisingų duomenų įtraukimas, netinkamas įkeisto turto valdymas, netinkami teisiniai dokumentai ir kt.);

72.3. materialiojo turto netekimas (stichinės nelaimės, gaisras, terorizmas ir kt.).

73. Bankas gali numatyti ir daugiau operacinės rizikos šaltinių.

74. Bankas privalo kaupti istorinius duomenis apie operacinę riziką ir jų nulemtus nuostolius (visų pirma apie tokius banko patirtus nuostolius, kurie pagal banko patvirtintoje operacinės rizikos valdymo politikoje nustatytus kriterijus laikomi reikšmingais) bei užtikrinti šių duomenų kokybę. Kaupiami duomenys turi apimti bent jau tokias svarbiausias nuostolio įvykio charakteristikas, kaip įvykio data, trumpas įvykio apibūdinimas, įvykį lėmusios priežastys ir sąryšis su kitomis rizikos rūšimis (pvz., su kredito ir rinkos rizika), nuostolio dydis, banko priimti sprendimai ir įdiegtos prevencinės priemonės siekiant išvengti panašaus įvykio pasikartojimo ateityje.

75. Banko valdyba turi užtikrinti tinkamas sąlygas, kad būtų veiksmingai atliktas operacinės rizikos valdymo vidaus auditas, kurio mastas ir periodiškumas atitiktų banko operacinės rizikos lygį. Banko vidaus audito padalinys nėra tiesiogiai atsakingas už operacinės rizikos valdymą.

76. Vadovaujantis banko valdybos patvirtinta operacinės rizikos valdymo politika, banke turi būti nustatytos aiškios banko darbuotojų atsakomybės ribos, konkrečios reikšmingų banko veiklos sričių operacinės rizikos kontrolės procedūros ir limitai, kurie, atsižvelgus į rizikos lygį, periodiškai peržiūrimi ir prireikus tikslinami.

77. Banke turi būti parengti nepaprastosios padėties ir veiklos tęstinumo planai siekiant užtikrinti nepertraukiamą banko veiklą ir apriboti nuostolius, jei būtų rimtų veiklos sutrikimų. Planai periodiškai testuojami siekiant įsitikinti, ar jie veiksmingi susidarius kritinei situacijai banke. Bendras veiksmų nenumatytomis aplinkybėmis planas peržiūrimas ir atnaujinamas, atsižvelgiant į verslo aplinkos, rinkos, produktų ir informacinių sistemų pokyčius.

78. Bankas turi turėti būtiną kompetenciją, siekdamas užtikrinti veiksmingą banko veiklą papildančių paslaugų kontrolę ir su šių paslaugų pirkimu susijusios rizikos valdymą, atsižvelgus į Banko veiklą papildančių paslaugų pirkimo taisykles, patvirtintas Lietuvos banko valdybos 2004 m. birželio 10 d. nutarimu Nr. 99 (Žin., 2004 Nr. 98-3688).

79. Bankas turi įvertinti tokius pagrindinius rizikos aspektus, susijusius su banko veiklą papildančių paslaugų teikimu:

79.1. strateginę riziką (pvz., tikimybė, kad banko veiklą papildančių paslaugų teikėjo savarankiška veikla nesuderinama su banko strateginiais tikslais; neužtikrinama banko teisė tinkamai kontroliuoti paslaugų teikimo procesą ir pan.);

79.2. reputacijos riziką (pvz., prasta banko veiklą papildančių paslaugų teikėjo paslaugų kokybė; sąveika su klientais neatitinka banko taikomų standartų ir pan.);

79.3. operacinę riziką (pvz., technologijų sutrikimai; nepakankamas banko veiklą papildančių paslaugų teikėjo finansinis pajėgumas tinkamai vykdyti prisiimtus įsipareigojimus; klaidos ir sukčiavimo atvejai ir pan.);

79.4. teisinę riziką (pvz., tikimybė, kad banko veiklą papildančių paslaugų teikėjas gali nesilaikyti įstatymų ir kitų teisės aktų reikalavimų; neįdiegtos tinkamos kontrolės priemonės ir pan.);

79.5. pasitraukimo strategijos riziką (pvz., bankas nėra numatęs alternatyvių paslaugų teikimo būdų tuo atveju, jei esamas paslaugų teikėjas nesugebėtų užtikrinti veiklos tęstinumo);

79.6. šalies riziką (pvz., tikimybė, kad atsiranda papildoma rizika dėl politinės ir teisinės aplinkos skirtumų, kai paslaugų teikėjas veikia kitoje šalyje; sudėtingesnis veiklos tęstinumo planavimas ir pan.);

79.7. koncentracijos ir sisteminę riziką (pvz., vienas ir tas pats banko veiklą papildančių paslaugų teikėjas teikia paslaugas daugeliui bankų; kiekvienas bankas vykdo nepakankamą paslaugų teikėjo kontrolę ir pan.).

80. Jei bankas nusprendžia įdiegti naują produktą arba finansinę paslaugą, pakeisti esamą produktą arba jų derinį, vidaus kontrolės sistema turi užtikrinti, kad:

80.1. bus atliekama išsami išankstinė tam produktui būdingos rizikos analizė, ypač tada, kai bankas neturi to verslo veiklos patirties;

80.2. bus įdiegtos tinkamos naujo produkto rizikos vertinimo, limitų nustatymo ir kontrolės procedūros;

80.3. bus atlikti būtini esamų procedūrų pertvarkymai ir parengtos naujo produkto įdiegimo procedūros.

81. Diegiant naują produktą turi būti numatyta:

81.1. naujo produkto aprašymas;

81.2. pagrindinių rizikos aspektų, susijusių su nauju produktu, vertinimas;

81.3. vidaus kontrolės ir rizikos valdymo procedūrų nustatymas;

81.4. procesų, susijusių su nauju produktu, patikrinimas (rinkodara, vartotojų nustatymas, pardavimas, produkto sukūrimas, atsiskaitymas ir mokėjimas);

81.5. teisiniai klausimai;

81.6. naudojamos informacinės technologijos, duomenų perdavimas ir informacijos saugumas;

81.7. poveikio pelningumui ir kapitalo pakankamumui vertinimas;

81.8. personalo mokymas ir instrukcijų rengimas.

82. Banko valdyba turi užtikrinti, kad banke įdiegtos tinkamai parengtos informacinių technologijų (toliau – IT) sistemos, atitinkančios banko veiklos pobūdį ir operacijų mastą.

83. Siekiant užtikrinti nenutrūkstamą ir veiksmingą IT sistemų funkcionavimą bei sumažinti operacinę riziką, susijusią su banko IT sistemomis, banko valdybos nustatyta tvarka ir periodiškumu įvertinamos šios IT sistemų kontrolės ir saugumo užtikrinimo priemonės:

83.1. administracinės ir organizacinės vidaus kontrolės priemonės (IT organizacinė struktūra, IT veiklą reglamentuojanti politika, standartai, procedūros ir pan.);

83.2. techninės ir programinės įrangos apsaugos priemonės (priešgaisrinė apsauga, fizinis saugumas, priemonės veiklos tęstinumui užtikrinti ekstremaliomis sąlygomis ir pan.);

83.3. informacijos apsaugos priemonės (tinkamas vidaus ir išorės vartotojų prieigos teisių administravimas, nesankcionuoto informacijos naudojimo prevencija, saugus informacijos perdavimas ir pan.);

83.4. informacijos patikimumo užtikrinimas (duomenų įvedimo kontrolė, duomenų pakeitimo arba sunaikinimo prevencija ir pan.);

83.5. apsauga nuo nesankcionuotų operacijų (priemonės, užkertančios kelią atlikti nesankcionuotus mokėjimus, taikant banko informacinę sistemą, apsauga nuo neteisėtų programinės įrangos pakeitimų ir pan.).

84. Banke turi būti įdiegta elektroninių duomenų įrašymo, perdavimo, apdorojimo ir saugojimo vidaus kontrolė. Jei bankas perka visas arba dalį šių paslaugų iš banko veiklą papildančių paslaugų teikėjų, turi būti laikomasi 78–79 punktuose išdėstytų reikalavimų, taikomų perkant banko veiklą papildančias paslaugas.

85. Bankas turi įvertinti tokius pagrindinius rizikos aspektus, susijusius su banko IT sistemomis:

85.1. nepakankama programinės įrangos kokybė, dėl kurios, pvz., galėtų visiškai sutrikti sistemos darbas, būtų patirta reikšmingų nuostolių dėl duomenų praradimo bei sistemos vėlavimo iki būtų atkurta normali jos veikla; netiesioginių nuostolių galėtų būti patirta dėl įdiegtų nepakankamų IT programinių saugumo priemonių, lengvinančių vidaus ir išorės sukčiavimo galimybes ir kt.;

85.2. IT saugos trūkumai, pvz., neautorizuotos prieigos galimybė, laiku neatnaujinama antivirusinė programinė įranga ir pan.;

85.3. saugumo politikos trūkumai, pvz., neatsakingai saugomi slaptažodžiai, netinkamai administruojamos prieigos teisės ir pan.;

85.4. specifinių sričių IT rizika: ypač daug dėmesio turėtų būti skiriama toms verslo sritims, kuriose IT sistemų naudojimas yra ypač reikšmingas, pvz., mažmeninė bankininkystė, prekyba vertybiniais popieriais ir valiutomis;

85.5. duomenų apsaugos problemos, kurios gali lemti nuostolius įvairiose veiklos srityse, pvz., galima reputacijos rizika dėl konfidencialių klientų duomenų paviešinimo ir pan.;

85.6. verslo partnerio rizika (kyla tuo atveju, kai bankas perka IT paslaugas iš banko veiklą papildančių paslaugų teikėjų), kuri yra tuo svarbesnė, kuo daugiau tarpusavyje susijusių IT sistemų ir procesų yra perkama.

86. Banko valdyba yra atsakinga, kad bankas turėtų patvirtintą IT plėtros strategiją, parengtą atsižvelgus į banko dabartinius ir numatomus ateities verslo poreikius, siekiant užtikrinti tinkamą IT sistemų sukūrimą, priežiūrą ir plėtrą.

87. Banke turi būti sukurtos ir patvirtintos IT sistemų plėtros ir kokybės kontrolės procedūros siekiant užtikrinti, kad sistemos veikia taip, kaip ir buvo planuota. Banko IT sistemos turi būti tinkamai dokumentuotos, kad būtų užtikrinama jų naudojimo ir plėtros galimybė susiklosčius nenumatytoms aplinkybėms, pvz., pasikeitus pagrindiniams darbuotojams.

88. Banke turi būti įdiegtos priemonės, mažinančios IT sistemų veiklos nutrūkimo tikimybę (pvz., dėl gaisro, vandens užliejimo, techninės įrangos gedimų), įskaitant atsarginių sistemų sukūrimą, bei apribota prieiga prie svarbiausių IT sistemų komponentų, suteikiant tokią teisę tik autorizuotiems asmenims.

X. BAIGIAMOSIOS NUOSTATOS

89. Nuostatos taikomos proporcingai banko veiklai, t. y. jų įgyvendinimas turi vykti atsižvelgus į banko veiklos mastą ir pobūdį, prisiimamą riziką ir atliekamas operacijas.

_________________

Pakeitimai:

Lietuvos banko valdyba, Nutarimas

Nr. 03-117, 2010-09-23, Žin., 2010, Nr. 114-5871 (2010-09-27), i. k. 110505ANUTA0003-117

Dėl Lietuvos banko valdybos 2008 m. rugsėjo 25 d. nutarimo Nr. 149 "Dėl Vidaus kontrolės ir rizikos vertinimo (valdymo) organizavimo nuostatų" pakeitimo