Finanšu un kapitāla tirgus komisijas ieteikumi Nr.125

Rīgā 2006.gada 28.jūlijā (prot. Nr.34 2.p.)

Operacionālā riska pārvaldīšanas ieteikumi

Izdoti saskaņā ar Finanšu un kapitāla tirgus komisijas likuma 7. panta pirmās daļas 1. punktu

I. Vispārīgie jautājumi

1. "Operacionālā riska pārvaldīšanas ieteikumi" (tālāk tekstā - ieteikumi) sagatavoti, ievērojot Bāzeles Banku uzraudzības komitejas "Operacionālā riska pārvaldīšanas un uzraudzības principus" un papildinot ar Finanšu un kapitāla tirgus komisijas padomes 21.12.2001. lēmumu Nr. 24/7 apstiprinātos "Ieteikumus iekšējās kontroles sistēmas izveidošanai".

2. Ieteikumos apkopoti efektīvas operacionālā riska pārvaldīšanas principi, kas bankām un ieguldījumu brokeru sabiedrībām (tālāk tekstā - iestāde) jāņem vērā, veidojot to darbībai atbilstošu operacionālā riska pārvaldīšanas sistēmu, un tos ieteicams piemērot apdrošinātājiem, apdrošināšanas brokeru sabiedrībām, ieguldījumu pārvaldes sabiedrībām un privātajiem pensiju fondiem.

3. Operacionālais risks šo ieteikumu izpratnē ir iespēja ciest zaudējumus prasībām neatbilstošu vai nepilnīgu iekšējo procesu norises, cilvēku un sistēmu darbības vai arī ārējo apstākļu ietekmes dēļ, ieskaitot juridisko risku, bet neieskaitot stratēģisko un reputācijas risku.

4. Operacionālo risku veido šādi notikumu veidi (tālāk tekstā - operacionālā riska notikumi), kuru dēļ var rasties zaudējumi:

4.1. iekšējie krāpnieciskie darījumi - piemēram, ar nodomu kļūdainas informācijas sniegšana pārskatos, darbinieku veiktās zādzības, konfidenciālas informācijas, kā arī dienesta stāvokļa izmantošana personīga labuma gūšanai;

4.2. ārējie krāpnieciskie darījumi - piemēram, laupīšana, viltošana, nesankcionēta ārēja piekļūšana informācijas resursiem;

4.3. neatbilstoša nodarbinātības prakse un darbavietas drošība - piemēram, darbinieku veselības un drošības kārtības noteikumu neievērošana, organizēta darba pārtraukšana jeb streiki;

4.4. nekorekta attieksme pret klientiem, neatbilstoši produkti un komercdarbības prakse - piemēram, uzticēšanās ļaunprātīga izmantošana, konfidenciālas klienta informācijas nepareiza lietošana, neatbilstošu tirdzniecības darbību veikšana iestādes vārdā, noziedzīgi iegūtu līdzekļu legalizēšana, neatļautu produktu pārdošana;

4.5. materiālo aktīvu bojājumi - piemēram, terorisms, vandālisms, zemestrīces, ugunsgrēki, plūdi;

4.6. komercdarbības pārrāvumi un sistēmu kļūdas (defekti) - piemēram, tehniskā nodrošinājuma un programmatūras kļūdas, telekomunikāciju problēmas, elektrības padeves traucējumi;

4.7. nepilnības izpildes, piegādes un procesa vadībā - piemēram, datu ievadīšanas kļūdas, ķīlas pārvaldīšanas kļūdas, nepilnīga juridiskā dokumentācija, ārpakalpojumu līgumu nepildīšana;

4.8. citi operacionālā riska notikumi, kas neatbilst 4.1.-4.7. punktā minētajiem operacionālā riska notikumiem.

5. Operacionālais risks piemīt visiem iestādes produktiem, darbībām, procesiem un sistēmām un to ne vienmēr var novērtēt kvantitatīvi vai arī tas var tikt novērtēts kvantitatīvi ar kavēšanos vai netieši.

6. Operacionālā riska efektīvas pārvaldīšanas nosacījumi ir šādi:

6.1. piemērotas operacionālā riska pārvaldīšanas vides izveide;

6.2. atbilstošas metodes lietošana operacionālā riska identificēšanai un novērtēšanai;

6.3. operacionālā riska regulāra pārraudzība;

6.4. atbilstoša operacionālā riska kontrole un mazināšana;

6.5. darbības nepārtrauktības nodrošināšana.

II. Piemērotas operacionālā riska pārvaldīšanas vides izveide

7. Iestādes padome un valde ir atbildīga par iestādes darbības kontroli un par iestādes kultūras izveidi, kurā uzsvērti augsti ētiskās uzvedības standarti visos iestādes organizācijas līmeņos un veicināta efektīva iekšējā kontrole.

8. Lai nodrošinātu iestādes darbības stabilitāti un drošību, iestādes padome apstiprina operacionālā riska pārvaldīšanas sistēmas izveides un darbības pamatprincipus operacionālā riska kā atsevišķas riska kategorijas pārvaldīšanai, kuros nosaka:

8.1. operacionālā riska pārvaldīšanas mērķus;

8.2. iekšējai lietošanai noteiktu tās darbībai un pieredzei atbilstošu operacionālā riska definīciju;

8.3. vēlmi uzņemties operacionālo risku un tā pieļaujamo līmeni;

8.4. operacionālā riska pārvaldīšanas būtiskākos procesus un prioritātes operacionālā riska pārvaldīšanā;

8.5. lietotās pieejas operacionālā riska identificēšanai, novērtēšanai, pārraudzībai, kontrolei un metodes operacionālā riska mazināšanai;

8.6. darbības nepārtrauktības nodrošināšanas pamatprincipus, kas ietver iestādes izvēlēto pieeju rīcībai ārkārtējos apstākļos.

9. Iestādes padome ir atbildīga par operacionālā riska pārvaldīšanas sistēmas izveides un tās efektīvas darbības kontroli, un tā:

9.1. apstiprina iestādes operacionālā riska pārvaldīšanas politiku;

9.2. nodrošina tādas iestādes struktūras izveidi, kas dod iespēju īstenot iestādes operacionālā riska pārvaldīšanas politiku un procedūras;

9.3. nosaka informācijas apmaiņas kārtību starp padomi un valdi, piemēram, iestādes valdei ne retāk kā vienu reizi gadā jāiesniedz iestādes padomei pārskats par operacionālā riska pārvaldīšanu, kurā tā apkopo nepieciešamo informāciju iestādes darbībai būtisku un stratēģisku lēmumu pieņemšanai;

9.4. regulāri, bet ne retāk kā vienu reizi gadā, pārskata iestādes operacionālā riska pārvaldīšanas sistēmas izveides un darbības pamatprincipus, ņemot vērā pārmaiņas ārējos faktoros (piemēram, tehnoloģiskie sasniegumi, pārmaiņas darbības vidē un nozarē), jaunu produktu, darbības veidu, procesu vai sistēmu ieviešanu, kā arī izvērtējot citu (līdzīgu) iestāžu operacionālā riska pārvaldīšanas pieredzi;

9.5. nosaka, ka iekšējā audita dienests vai ārējais audits atbilstoši iestādes darbībai piemītošā operacionālā riska līmenim regulāri pārbauda un novērtē iestādes darbības atbilstību tās operacionālā riska pārvaldīšanas politikai un procedūrām un darbības nepārtrauktības nodrošināšanas plānam, kā arī pārbauda un novērtē tās spēju realizēt darbības nepārtrauktības nodrošināšanas plānu ārkārtējos apstākļos un tā atbilstību iestādes esošajai darbībai un tās attīstības stratēģijai.

10. Iestādes valde ir atbildīga par operacionālā riska pārvaldīšanas sistēmas izveidi saskaņā ar iestādes padomes apstiprinātajiem operacionālā riska pārvaldīšanas sistēmas izveides un darbības pamatprincipiem, un tā:

10.1. izstrādā operacionālā riska pārvaldīšanas politiku un nodrošina iestādes padomes apstiprinātās operacionālā riska pārvaldīšanas politikas īstenošanu;

10.2. nodrošina darbības nepārtrauktības nodrošināšanas plāna un operacionālā riska pārvaldīšanas procedūru visiem iestādes būtiskajiem produktiem, darbības veidiem, procesiem un sistēmām izstrādi, apstiprināšanu un īstenošanu;

10.3. izstrādā iestādes struktūru un nosaka pilnvaru, pienākumu un atbildības par operacionālā riska pārvaldīšanu sadalījumu starp iestādes struktūrvienībām un atbildīgajiem darbiniekiem, nodalot operacionālā riska kontroles funkcijas no ikdienas operāciju (darījumu) veikšanas un administratīvajām un tehniskajām funkcijām;

10.4. apstiprina pārskatu par operacionālā riska pārvaldīšanu iesniegšanas kārtību, kontrolē to savlaicīgumu, precizitāti un būtiskumu un nosaka informācijas apmaiņas kārtību iestādē, piemēram, starp darbiniekiem, kuri ir atbildīgi par operacionālā riska pārvaldīšanu, un darbiniekiem, kuri ir atbildīgi par kredītriska, tirgus risku un citu risku pārvaldīšanu, kā arī darbiniekiem, kuri ir atbildīgi par ārpakalpojumu sniedzēju sniegto pakalpojumu vai apdrošināšanas pakalpojumu iegādes nodrošināšanu;

10.5. nodrošina, ka darbiniekiem ir to pienākumu veikšanai atbilstoša kvalifikācija, pietiekama pieredze, speciālās iemaņas un nepieciešamie resursi;

10.6. nodrošina, ka darbiniekiem, kuri ir atbildīgi par iestādes struktūrvienību darbības atbilstības iestādes operacionālā riska pārvaldīšanas politikai un procedūrām kontroli, ir piešķirtas nepieciešamās pilnvaras šo pienākumu veikšanai;

10.7. nodrošina, ka katras struktūrvienības, kuras darbībai piemīt būtisks operacionālais risks, visu līmeņu darbinieki ir iepazīstināti ar iestādes operacionālā riska pārvaldīšanas politiku;

10.8. nodrošina, ka visu līmeņu darbinieki, kuri ir iesaistīti darbības nepārtrauktības nodrošināšanā, ir iepazīstināti ar iestādes darbības nepārtrauktības nodrošināšanas plānu un saviem pienākumiem un atbildību operacionālā riska pārvaldīšanā;

10.9. apstiprina iestādes darbinieku atalgojuma politiku, kas atbilst iestādes vēlmei uzņemties operacionālo risku. Atalgojuma politika, kas veicina operacionālā riska pārvaldīšanas politikas un procedūru neievērošanu (piemēram, veicina iestādes noteikto iekšējo limitu pārsniegšanu), mazina iestādes operacionālā riska pārvaldīšanas efektivitāti;

10.10. nodrošina iestādes operāciju (darījumu) izpildes kvalitāti un tās darbības dokumentācijas kontroli. Politikām, procesiem un procedūrām, kuras attiecas uz liela apjoma informācijas apstrādes automatizācijas nodrošināšanu, jābūt īpaši detalizēti dokumentētām un izskaidrotām visiem iesaistītajiem darbiniekiem.

III. Operacionālā riska identificēšana un novērtēšana

11. Iestāde identificē visiem tās būtiskajiem produktiem, darbības veidiem, procesiem un sistēmām piemītošo operacionālo risku, izvērtējot gan iekšējos faktorus (piemēram, organizācijas struktūra un pārmaiņas tajā, operāciju (darījumu) dažādība un sarežģītība, darbinieku kvalifikācija un mainība), gan ārējos faktorus (piemēram, tehnoloģiskie sasniegumi, pārmaiņas darbības vidē un nozarē), kas var negatīvi ietekmēt iestādes operacionālā riska pārvaldīšanas mērķu sasniegšanu.

12. Iestāde regulāri novērtē operacionālā riska, kas identificēts visiem tās būtiskajiem produktiem, darbības veidiem, procesiem un sistēmām, iestāšanās varbūtību un iespējamo ietekmi uz tās darbību.

13. Operacionālā riska identificēšanai un novērtēšanai var lietot šādas pieejas:

13.1. operacionālā riska pašnovērtēšana - tā ietver operacionālā riska notikumu, kuru dēļ var rasties zaudējumi (tālāk tekstā - operacionālie zaudējumi), identificēšanu un novērtēšanu, iestādei organizējot, piemēram, aptaujas lapu aizpildīšanu vai apspriedes ar darbiniekiem.

Iestāde var lietot, piemēram, operacionālā riska punktu vērtējumus, izsakot kvalitatīvos vērtējumus kvantitatīvos vērtējumos un klasificējot iespējamos operacionālā riska notikumus. Lietojot operacionālā riska punktu vērtējumu, iestāde var identificēt tās operacionālā riska līmeni un nepieciešamās kontroles darbības tā mazināšanai;

13.2. operacionālā riska notikumu biežuma un to radīto zaudējumu samērošana (operational risk mapping) - šajā procesā iestādes vai tās atsevišķo struktūrvienību funkcijām, darbības veidiem vai procesiem tiek novērtēts operacionālā riska notikumu biežums un to radīto operacionālo zaudējumu apmērs. Parasti operacionālā riska notikumu biežuma un to radīto zaudējumu samērošana tiek attēlota grafiski, attiecīgi uz vienas no asīm attēlojot iespējamo operacionālā riska notikumu biežumu un uz otras - iespējamo šādu operacionālā riska notikumu dēļ radušos zaudējumu apmēru, kas var palīdzēt noteikt prioritātes operacionālā riska pārvaldīšanā;

13.3. operacionālā riska rādītāju noteikšana - iestādes operacionālā riska līmeņa noteikšanai var lietot riska rādītājus, kas var būt statistiskie, finanšu vai citi rādītāji. Šādos rādītājos var iekļaut, piemēram, savlaicīgi neizpildīto darījumu skaitu, darbinieku mainības koeficientus, kļūdu skaitu vai to radīto zaudējumu apmēru.

Operacionālā riska rādītājus apkopo un periodiski izvērtē (piemēram, katru mēnesi vai ceturksni), lai savlaicīgi identificētu pārmaiņas operacionālā riska līmenī;

13.4. operacionālā riska mērīšana - iestāde novērtē tai piemītošo operacionālo risku, lietojot dažādas pieejas, piemēram, pamatojoties uz iestādes izveidoto datu bāzi sistemātiskai operacionālo zaudējumu rašanās gadījumu, to apmēra un citas ar tiem saistītas būtiskas informācijas reģistrēšanai un analizēšanai.

Iestāde var kombinēt, piemēram, tās iekšējos datus par operacionālajiem zaudējumiem ar datiem par citu (līdzīgu) iestāžu operacionālajiem zaudējumiem un analīzi par operacionālā riska notikumu varbūtību un iespējamo operacionālo zaudējumu apmēru (scenāriju analīze).

14. Iestāde nodrošina, ka pirms jaunu produktu, darbību, procesu un sistēmu ieviešanas tiem piemītošais operacionālais risks tiek identificēts un novērtēts.

IV. Operacionālā riska pārraudzība

15. Iestāde nodrošina visiem tās būtiskajiem produktiem, darbības veidiem, procesiem un sistēmām piemītošā identificētā operacionālā riska un operacionālo zaudējumu regulāru pārraudzību atbilstoši pārmaiņu biežumam un to raksturam iestādes darbības vidē, lai savlaicīgi atklātu un novērstu neatbilstības operacionālā riska pārvaldīšanas politikā un procedūrās un tādējādi būtiski samazinātu iespējamo operacionālo zaudējumu rašanās biežumu vai to apmēru.

16. Iestāde nosaka atbilstošus rādītājus, kuri atspoguļo operacionālā riska līmeņa palielināšanās iespējamos cēloņus, piemēram, darbības apjoma pieaugums, darbinieku mainība, pārtraukto (neizpildīto) darījumu skaits, dīkstāves gadījumu skaits, piemēram, elektrības padeves traucējumu gadījumā u.c.

Šādiem rādītājiem iestāde nosaka bāzes līmeni, kura pārsniegšana savlaicīgi brīdina par iespējamo operacionālo zaudējumu palielināšanās risku nākotnē.

17. Atbildīgie darbinieki regulāri gatavo pārskatus par operacionālā riska pārvaldīšanu, kuros iekļauj informāciju par iestādes darbības iekšējiem datiem, ārējiem notikumiem un apstākļiem tirgū, kuri var būtiski ietekmēt tās darbību, operacionālā riska pārraudzības rezultātiem un identificētajām problēmjomām, kā arī sniedz ieteikumus korektīvo pasākumu veikšanai.

18. Pārskatus par operacionālā riska pārvaldīšanu iesniedz iestādes valdei, kā arī atbilstošo līmeņu vadītājiem un struktūrvienībām, uz kuru darbības jomām attiecināma pārskatos iekļautā informācija. Pārskatu saņēmēji nodrošina šīs informācijas analīzi, lai uzlabotu iestādes operacionālā riska pārvaldīšanas praksi un pilnveidotu operacionālā riska pārvaldīšanas politiku un procedūras.

V. Operacionālā riska kontrole un mazināšana

19. Iestāde nosaka, vai tā uzņemsies identificēto un novērtēto visiem tās būtiskajiem produktiem, darbības veidiem, procesiem un sistēmām piemītošo operacionālo risku vai arī lietos atbilstošas procedūras tā kontrolei un mazināšanai.

20. Attiecībā uz operacionālo risku, kuru nevar kontrolēt, iestāde nosaka, vai tā uzņemsies šādu operacionālo risku vai arī samazinās ar šādu operacionālo risku saistīta darbības veida veikšanas apmēru, vai arī neveiks ar šādu operacionālo risku saistītu darbības veidu.

21. Operacionālā riska kontroles būtiskākie elementi ir šādi:

21.1. iestādes darbības atbilstības operacionālā riska pārvaldīšanas politikai un procedūrām un darbības nepārtrauktības nodrošināšanas plānam novērtēšana;

21.2. kārtība konstatēto neatbilstību novēršanai;

21.3. efektīva pārskatu par operacionālā riska pārvaldīšanu sniegšanas sistēma un informācijas apmaiņas kārtība;

21.4. dokumentēta pilnvaru piešķiršana, ievērojot pienākumu dalīšanas principu.

22. Iestāde nodrošina operacionālā riska kontroles atbilstību iestādes darbības pārmaiņām, piemēram, iestādes darbības apjoma pieauguma, jaunu darbības veidu vai produktu ieviešanas gadījumos, īpaši, ja tie neatbilst iestādes attīstības stratēģijai un citos līdzīgos gadījumos.

23. Operacionālā riska mazināšanai var lietot šādas metodes:

23.1. apdrošināšana - parasti apdrošināšanu lieto, lai mazinātu operacionālos zaudējumus, kas var rasties tādu operacionālā riska notikumu dēļ, kuriem ir zema iestāšanās varbūtība un kas var radīt būtiskus zaudējumus, piemēram, dabas katastrofas, trešo pušu prasības, kas radušās darbinieku kļūdu dēļ, darbinieku vai trešo pušu krāpšana;

23.2. ieguldījumi atbilstošās datu apstrādes un informācijas drošības tehnoloģijās - veicot šādus ieguldījumus, iestāde ņem vērā, ka automatizācijas palielināšana var samazināt tādu operacionālo zaudējumu rašanās biežumu, kuri katrs atsevišķi nav būtiski, bet var veicināt tādu operacionālo zaudējumu rašanos, kuri katrs atsevišķi ir būtiski;

23.3. ārpakalpojumu saņemšana - ārpakalpojumu saņemšana mazina iestādes darbībai piemītošo operacionālo risku, ja to sniedzējiem ir lielāka pieredze vai iespējas pārvaldīt ar iestādes atsevišķu darbības veidu nodrošināšanu saistītu operacionālo risku. Iestāde ņem vērā, ka ārpakalpojumu saņemšana pilnībā neizslēdz ar šiem pakalpojumiem saistīto operacionālo risku.

24. Iestāde, lietojot 23. punktā minētās metodes operacionālā riska mazināšanai, ņem vērā, ka tās ir operacionālā riska kontroli papildinošas, nevis aizvietojošas
metodes.

Papildus iestāde izvērtē, vai tādas metodes kā apdrošināšana lietošana operacionālā riska mazināšanai nerada jaunu risku, piemēram, juridisko risku vai darījumu partnera risku. Ja iestāde pieņem lēmumu apdrošināt operacionālo risku vai saglabāt noteiktu tā līmeni, tad šādam lēmumam jāatbilst iestādes attīstības stratēģijai un vēlmei uzņemties operacionālo risku, un tam jābūt skaidri un nepārprotami
formulētam.

VI. Darbības nepārtrauktības nodrošināšana

25. Iestādes nespēju pildīt saistības var izraisīt tādi notikumi kā, piemēram, negadījumi vai katastrofas, kuru cēloņi var būt ārpus iestādes kontroles un kas var ietekmēt iestādi tieši vai netieši, īpaši, ja to dēļ bojāti vai nav pieejami iestādes materiālie vai finanšu aktīvi, informācijas tehnoloģiju un telekomunikāciju infrastruktūra. Šādu notikumu dēļ var rasties būtiski zaudējumi, kā arī tie var izraisīt vispārēju finanšu sistēmas darbības pārtraukšanu, piemēram, ja nedarbojas vai tiek kavēta norēķinu sistēmas darbība.

26. Lai nodrošinātu iestādes spēju darboties nepārtraukti un mazinātu zaudējumus ārkārtēju apstākļu gadījumā, iestāde izstrādā tās darbības nepārtrauktības nodrošināšanas plānu, kura ietvaros:

26.1. identificē tās darbībai būtiskus procesus un resursus, kuri darbības traucējumu gadījumā ir nekavējoties jāatjauno, t.sk. arī tos, kurus nodrošina ārpakalpojumu sniedzēji vai citas trešās puses;

26.2. novērtē iestādes darbībai būtisku procesu pārtraukšanas un resursu nepietiekamības ietekmi uz iestādes darbību un maksimāli pieļaujamo laiku to atjaunošanai, tādējādi nosakot prioritātes un rīcību normālas darbības atjaunošanai ārkārtējos apstākļos;

26.3. izstrādā procedūras un nosaka atbildīgos un iesaistītos darbiniekus un administratīvās un tehniskās funkcijas iestādes darbībai būtisku procesu nepārtrauktības un resursu pietiekamības nodrošināšanai;

26.4. nosaka tehniskos un darba organizācijas pasākumus un veidus, kādos iestādes darbībai būtiski procesi un resursi tiks atjaunoti;

26.5. nosaka alternatīvus veidus iestādes darbībai būtisku procesu un resursu aizstāšanai līdz to atjaunošanai, piemēram, paredzot citu atrašanās vietu vai citus resursus, un paredz iestādes darbības nepārtrauktības nodrošināšanā iesaistītajiem darbiniekiem atbilstošu materiāltehnisko apgādi, lietojamo informācijas tehnoloģiju un telekomunikāciju infrastruktūru ārkārtējos apstākļos;

26.6. nosaka darbības nepārtrauktības nodrošināšanas pasākumus informācijas sistēmu darbībai saskaņā ar Finanšu un kapitāla tirgus komisijas padomes 11.10.2002. lēmumu Nr.270 apstiprināto "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības noteikumu" 9. punktu.

Finanšu un kapitāla tirgus komisijas priekšsēdētājs U.Cērps