В соответствии с законами Республики Казахстан от 2 июля 2003 года "О рынке ценных бумаг" и от 21 июня 2013 года "О пенсионном обеспечении в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Правила формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов.
2. Признать утратившими силу:
1) постановление Правления Национального Банка Республики Казахстан от 27 августа 2013 года № 240 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 8816, опубликовано 13 декабря 2013 года в газете "Юридическая газета" № 188 (2563);
2) пункт 19 Перечня нормативных правовых актов Республики Казахстан, в которые вносятся изменения и дополнения, утвержденного постановлением Правления Национального Банка Республики Казахстан от 27 августа 2014 года № 168 "О внесении изменений и дополнений в некоторые нормативные правовые акты Республики Казахстан" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 9796, опубликовано 12 ноября 2014 года в информационно-правовой системе "Әділет").
3. Департаменту методологии финансового рынка (Абдрахманов Н.А.) в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.
4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.
6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
|
Председатель Национального Банка |
Д. Акишев |
| Утверждены постановлением Правления Национального Банка Республики Казахстан от 27 апреля 2018 года № 76 |
Правила формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов
Глава 1. Общие положения
1. Настоящие Правила формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов (далее - Правила) разработаны в соответствии с законами Республики Казахстан от 2 июля 2003 года "О рынке ценных бумаг" (далее - Закон о рынке ценных бумаг) и от 21 июня 2013 года "О пенсионном обеспечении в Республике Казахстан" (далее - Закон о пенсионном обеспечении) и определяют порядок формирования системы управления рисками и внутреннего контроля единым накопительным пенсионным фондом (далее - Фонд) и добровольными накопительными пенсионными фондами (далее - ДНПФ).
2. Совет директоров и правление Фонда или ДНПФ обеспечивают соответствие системы управления рисками и внутреннего контроля Правилам и создают условия для исполнения структурными подразделениями и работниками Фонда или ДНПФ возложенных на них обязанностей в области управления рисками и осуществления внутреннего контроля.
3. В Правилах используются следующие понятия:
1) корпоративное управление - система стратегического и тактического управления Фонда или ДНПФ, представляющая собой комплекс взаимоотношений между общим собранием акционеров, советом директоров, правлением и иными органами, направленный на обеспечение эффективного функционирования Фонда или ДНПФ, защиту прав и интересов его акционера и предоставляющий акционеру возможность эффективного контроля и мониторинга деятельности Фонда или ДНПФ;
2) управление конфликтом интересов - создание механизмов недопущения ситуаций, при которых интересы должностного лица или работника Фонда или ДНПФ могут повлиять на объективность и независимость принятия ими решений и исполнения обязанностей, а также вступить в противоречие с их обязательством действовать в интересах вкладчиков (получателей пенсионных выплат) Фонда или ДНПФ и (или) акционеров Фонда или ДНПФ;
3) операционный риск - риск возникновения расходов (убытков) в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны работников, функционирования информационных систем и технологий, а также вследствие внешних событий, включающий в себя риски, связанные с:
неопределенной и неэффективной организационной структурой Фонда или ДНПФ, включая распределение ответственности, структуру подотчетности и управления;
неэффективными стратегиями, политиками и (или) стандартами в области информационных технологий, недостатками в использовании программного обеспечения;
неполной или недостоверной информацией либо несоответствующим использованием информации;
неэффективным управлением персоналом и (или) неквалифицированным штатом Фонда или ДНПФ;
недостаточно эффективным построением процессов осуществления деятельности Фонда или ДНПФ либо слабым контролем соблюдения внутренних правил;
непредвиденными или неконтролируемыми факторами внешнего воздействия на деятельность Фонда или ДНПФ;
наличием недостатков или ошибок во внутренних документах, регламентирующих деятельность Фонда или ДНПФ;
непрофессиональными действиями руководства и персонала Фонда или ДНПФ, повлекшими за собой сужение клиентской базы, недоверие или негативное восприятие Фонда или ДНПФ клиентами и (или) контрпартнерами;
4) репутационный риск - риск возникновения расходов (убытков) вследствие негативного общественного мнения или снижения доверия к Фонду или ДНПФ;
5) система управления рисками - совокупность взаимосвязанных элементов: процедур, методик, информационных систем, объединенных в единый процесс по управлению реализованными и потенциальными рисками в рамках приемлемого для акционера уровня риска и направленных на достижение целей и задач по управлению рисками. В процессе выявления и управления реализованными и потенциальными рисками, влияющими на деятельность Фонда, ДНПФ, участвуют совет директоров, правление, руководители и сотрудники структурных подразделений в пределах закрепленной компетенции и ответственности;
6) форс-мажорные обстоятельства - обстоятельства непреодолимой силы (стихийные явления, военные действия, наводнения, землетрясения, блокады, забастовки, террористические акты и иные подобные обстоятельства, которые невозможно предвидеть);
7) система внутреннего контроля - совокупность политик, процессов и процедур внутреннего контроля, обеспечивающих реализацию Фондом или ДНПФ долгосрочных целей и поддержания достоверности финансовой и управленческой отчетности, способствующей соблюдению законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг, а также политики Фонда или ДНПФ, внутренних правил, снижению риска убытков или репутационного риска Фонда или ДНПФ;
8) внутренние документы - документы, регулирующие условия и порядок деятельности Фонда или ДНПФ, их органов, структурных подразделений, филиалов, представительств, работников;
9) уполномоченный орган - Национальный Банк Республики Казахстан.
4. Фонд, ДНПФ ежегодно не позднее 1 июля года, следующего за отчетным, представляют в уполномоченный орган отчет об оценке выполнения требований к системе управления рисками по формам согласно приложениям 1 и 2 к Правилам соответственно.
Глава 2. Порядок формирования системы управления рисками
5. Формирование системы управления рисками в Фонде или ДНПФ осуществляется в целях соответствия деятельности Фонда и ДНПФ требованиям по корпоративному управлению, функционированию информационных систем и систем управленческой информации.
6. Задачами формирования системы управления рисками являются:
1) своевременное выявление рисков и угроз;
2) повышение качества оценки максимально допустимых значений показателей рисков;
3) развитие альтернативных механизмов контроля рисков;
4) обеспечение принятия своевременных мер по минимизации и управлению рисками;
5) вовлечение отдельных структурных подразделений Фонда или ДНПФ, включая подразделение по управлению рисками, в процесс мониторинга и оценки рисков, а также повышение ответственности работников Фонда или ДНПФ в области управления рисками.
7. Система управления рисками Фонда включает следующие основные элементы: идентификация риска, измерение риска, оценка риска, контроль риска и мониторинг риска и охватывает следующие направления деятельности Фонда:
1) организация, проведение и администрирование процесса привлечения вкладчиков (получателей пенсионных выплат) и ведения учета пенсионных накоплений;
2) аудит программного-технического обеспечения, используемого в процессе деятельности Фонда;
3) разработка и утверждение внутренних документов в соответствии с Требованиями к внутренним документам согласно приложению 3 к Правилам;
4) определение порядка организации работы с вкладчиками (получателями пенсионных выплат) и учет их пенсионных накоплений, включающего:
процедуры, обеспечивающие достоверность учета и своевременность открытия индивидуальных пенсионных счетов и поступления средств на индивидуальные пенсионные счета вкладчиков (получателей пенсионных выплат), выплат и переводов пенсионных накоплений;
процедуры, гарантирующие рассмотрение по существу в установленный срок жалоб и обращений вкладчиков (получателей пенсионных выплат);
процедуры, гарантирующие своевременность осуществления переводов и выплат пенсионных накоплений вкладчиков (получателей пенсионных выплат);
процедуры по оказанию безвозмездных консультационных услуг вкладчикам (получателям пенсионных выплат), а также лицам, намеренным заключить договор о пенсионном обеспечении с Фондом, по вопросам функционирования накопительной пенсионной системы и деятельности по инвестиционному управлению пенсионными активами;
процедуры, обеспечивающие соответствие учета пенсионных и собственных активов требованиям законодательства Республики Казахстан о пенсионном обеспечении и бухгалтерском учете и финансовой отчетности;
порядок осуществления проверки правильности начисления комиссионного вознаграждения;
процедуры по контролю за организацией в Фонде деятельности по заключению договоров о пенсионном обеспечении с вкладчиками (получателями пенсионных выплат);
процедуры по контролю за деятельностью работников Фонда, на которых возложены функции по оказанию консультационных услуг вкладчикам (получателям пенсионных выплат), а также лицам, намеренным заключить договор о пенсионном обеспечении с Фондом, по вопросам функционирования накопительной пенсионной системы;
5) создание организационно-функциональной структуры управления Фонда;
6) взаимодействие Фонда с уполномоченным органом;
7) сбор, ввод, хранение и распространение информации по пенсионным активам и накоплениям;
8) установление лимитов на допустимый размер рисков.
Система управления рисками Фонда включает требования к организации системы информационного обмена согласно приложению 4 к Правилам, а также требования к программно-техническому обеспечению, используемому для поддержания системы управления рисками, согласно приложению 5 к Правилам.
ДНПФ в процессе формирования системы управления рисками руководствуется подпунктами 1), 2), 3), 4), 7) и частью второй настоящего пункта.
8. Функциями подразделения по управлению рисками Фонда или ДНПФ являются:
1) разработка, внедрение и постоянное развитие системы управления рисками;
2) мониторинг и оценка уровня рисков, в том числе на основе информации, получаемой от других структурных подразделений;
3) разработка предложений по установлению лимитов на допустимый размер рисков;
4) разработка планов по минимизации и контролю рисков;
5) формирование и предоставление отчетности и иной информации по управлению рисками совету директоров и правлению Фонда или ДНПФ;
6) функции, определенные политикой Фонда по управлению рисками и другими внутренними документами Фонда или ДНПФ.
9. Подразделение по управлению рисками Фонда или ДНПФ незамедлительно уведомляет совет директоров Фонда или ДНПФ о случаях злоупотреблений, противоправных действиях работников Фонда или ДНПФ и об иных случаях, повлекших нарушения законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг и (или) нарушения допустимого уровня риска Фонда или ДНПФ.
10. Оценка адекватности и эффективности системы управления рисками проводится службой внутреннего аудита в соответствии с годовым планом внутреннего аудита.
Глава 3. Порядок организации внутреннего контроля
11. Система внутреннего контроля в Фонде или ДНПФ создается для:
1) обеспечения операционной и финансовой деятельности Фонда или ДНПФ;
2) обеспечения надежности, полноты и своевременности ведения индивидуального учета пенсионных накоплений и выплат;
3) соблюдения требований законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг, внутренних документов Фонда или ДНПФ.
12. Система внутреннего контроля в Фонде или ДНПФ состоит из пяти взаимосвязанных элементов:
1) управленческий контроль;
2) выявление и оценка риска;
3) осуществление контроля и разделение полномочий;
4) информация и взаимодействие;
5) мониторинг и исправление недостатков.
13. Функционирование системы внутреннего контроля в Фонде или ДНПФ происходит по принципу непрерывного поочередного прохождения следующих трех этапов:
1) формирование системы внутреннего контроля (с учетом результатов оценки эффективности) путем включения процедур во внутренние документы Фонда или ДНПФ;
2) использование в работе процедур системы внутреннего контроля, определенных внутренними документами Фонда или ДНПФ;
3) проведение оценки эффективности системы внутреннего контроля.
14. В целях совершенствования системы внутреннего контроля предусматривается использование принципов и требований систем менеджмента качества для оказания качественных услуг вкладчикам (получателям пенсионных выплат).
15. Система внутреннего контроля в Фонде или ДНПФ включает:
1) проверку достижения Фондом или ДНПФ поставленных целей и задач посредством представления совету директоров и правлению Фонда или ДНПФ отчетов о результатах операционной (текущей) деятельности Фонда или ДНПФ с приложением плановых показателей операционной (текущей) деятельности;
2) постоянный контроль руководителем структурного подразделения результатов деятельности подразделения, включающий мониторинг наличия отклонений от плановых показателей и выявление причин таких отклонений;
3) проверку руководящими работниками Фонда или ДНПФ стандартных отчетов руководителей структурных подразделений Фонда или ДНПФ о результатах деятельности структурных подразделений, включающих указание отклонений от плановых показателей и причин невыполнения плановых показателей;
4) ограничение доступа к материальным активам Фонда или ДНПФ;
5) реализацию мероприятий по устранению выявленных несоответствий;
6) установление требований к перечню операций, требующих обязательной авторизации;
7) проверку условий совершения операций и результатов применения моделей управления рисками, связанных с деятельностью Фонда или ДНПФ;
8) проверку своевременности, правильности, полноты и точности отражения проведенных операций в учете и отчетности Фонда или ДНПФ;
9) предотвращение использования услуг в преступных целях, целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма.
16. Система внутреннего аудита представляет собой систему организации, политики, процедур и методов, принятых Фондом или ДНПФ для проверки и объективной оценки эффективности функционирования систем внутреннего контроля и управления рисками по всем аспектам их деятельности в целях обеспечения эффективной деятельности Фонда или ДНПФ и предоставления действенных рекомендаций по ее улучшению.
Система внутреннего аудита формируется в Фонде или ДНПФ в соответствии с Правилами, законодательством Республики Казахстан об акционерных обществах, о пенсионном обеспечении и рынке ценных бумаг, а также международными профессиональными стандартами внутреннего аудита.
17. Служба внутреннего аудита Фонда или ДНПФ создается с целью решения задач, возникающих при осуществлении советом директоров функций по обеспечению наличия и функционирования адекватной системы внутреннего контроля путем предоставления объективной оценки состояния системы внутреннего контроля и рекомендаций по их совершенствованию.
Целями внутреннего аудита являются оценка адекватности и эффективности систем внутреннего контроля по всем аспектам деятельности Фонда или ДНПФ, контроль за соблюдением внутренних документов Фонда или ДНПФ, исполнением рекомендаций внутренних и внешних аудиторов, примененных ограниченных мер воздействия и санкций, а также требований уполномоченного органа, установленных в отношении осуществления деятельности на финансовом рынке, обеспечение своевременной и достоверной информацией о состоянии выполнения структурными подразделениями и работниками Фонда или ДНПФ, возложенных функций и задач, а также предоставление действенных и эффективных рекомендаций по улучшению работы.
18. Руководитель и работники службы внутреннего аудита Фонда или ДНПФ назначаются советом директоров Фонда или ДНПФ и имеют доступ ко всем необходимым документам, связанным с деятельностью проверяемых структурных подразделений, филиалов, представительств Фонда или ДНПФ, в том числе составляющим коммерческую и (или) иную охраняемую законами Республики Казахстан тайну.
19. Годовой план внутреннего аудита разрабатывается на основе риск-ориентированного подхода в соответствии с внутренними документами Фонда или ДНПФ, регулирующими деятельность внутреннего аудита.
Годовой план внутреннего аудита утверждается советом директоров Фонда или ДНПФ.
20. Основными функциями службы внутреннего аудита Фонда или ДНПФ являются:
1) проверка деятельности, процессов структурных подразделений, филиалов, представительств Фонда или ДНПФ;
2) подготовка отчетов для совета директоров, правления Фонда или ДНПФ по результатам проверок, содержащих выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ;
3) осуществление контроля за эффективностью принятых структурными подразделениями, филиалами, представительствами и органами Фонда или ДНПФ мер по результатам проверок структурных подразделений, филиалов, представительств Фонда или ДНПФ, обеспечивающих снижение уровня выявленных рисков;
4) определение области риска в операциях Фонда или ДНПФ, которые необходимо подвергнуть внутреннему и внешнему аудиту;
5) оценка процедур внутреннего контроля Фонда или ДНПФ на предмет обеспечения достоверности и точности информации, предоставляемой руководству Фонда или ДНПФ и внешним пользователям;
6) функции, предусмотренные внутренними документами Фонда или ДНПФ.
21. В ходе проверки, проводимой службой внутреннего аудита Фонда или ДНПФ, рассмотрению подлежат следующие вопросы:
1) проверка процессов и процедур внутреннего контроля, оценка их эффективности;
2) проверка полноты применения и эффективности методологии управления и оценки рисков и процедур управления рисками (методик, программ, правил, порядков и процедур совершения операций);
3) проверка эффективности функционирования автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа, наличие планов действий на случай непредвиденных обстоятельств;
4) проверка достоверности, полноты, объективности финансовой отчетности, своевременности отражения операций в бухгалтерском учете, а также надежности и своевременности сбора и представления информации и отчетности;
5) проверка достоверности, полноты, объективности и своевременности представления Фондом или ДНПФ отчетности и информации уполномоченному органу, внешним пользователям в рамках деятельности Фонда или ДНПФ;
6) проверка применяемых способов (методов) обеспечения сохранности имущества Фонда или ДНПФ;
7) проверка систем, созданных в целях соблюдения требований законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг;
8) оценка работы службы управления персоналом Фонда или ДНПФ;
9) правильность обработки ежедневных балансов;
10) соответствие учетной политики международным стандартам финансовой отчетности;
11) правильность учета собственных и пенсионных активов Фонда или ДНПФ;
12) вопросы, предусмотренные внутренними документами Фонда или ДНПФ.
22. Обязательная к использованию при проведении внутреннего аудита система оценки определяется внутренней методикой Фонда или ДНПФ и включает следующие варианты оценки эффективности функционирования систем внутреннего контроля и управления рисками:
1) "неудовлетворительная ситуация":
по результатам внутреннего аудита выявлены грубые нарушения внутренних документов, а также требований законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг, влекущие применение ограниченных мер воздействия и санкций;
требуется срочная и эффективная исправительная мера по устранению высокого риска, который может подорвать целостность процесса;
требуется реструктуризация структурных подразделений;
2) "недостаточное покрытие риска":
по результатам внутреннего аудита выявлены нарушения внутренних документов, а также требований законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг, в том числе влекущие применение ограниченных мер воздействия и санкций;
устранение выявленных нарушений возможно посредством обязательного выполнения исправительных мероприятий, установленных службой внутреннего аудита;
3) "под общим контролем":
результаты отображают незначительные недостатки и (или) нарушения внутренних документов, а также отдельные случаи нарушений требований законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг, не влекущие применение ограниченных мер воздействия и санкций, которые могут быть устранены в ходе обычных деловых операций;
рекомендуются некоторые последующие исправительные мероприятия;
4) "хорошо по всем аспектам":
правильный баланс между риском и покрытием;
результаты отражают только незначительные недостатки или их полное отсутствие.
23. Совет директоров и правление Фонда или ДНПФ анализируют отчеты службы внутреннего аудита и принимают меры по недопущению нарушений, выявленных службой внутреннего аудита, в дальнейшей деятельности Фонда или ДНПФ.
Меры, указанные в части первой настоящего пункта, оформляются в виде решений (постановлений) совета директоров и правления Фонда.
24. Правление Фонда или ДНПФ осуществляет оперативный контроль за выполнением рекомендаций службы внутреннего аудита и отчитывается о результатах оперативного контроля перед советом директоров Фонда или ДНПФ не реже одного раза в квартал.
В целях осуществления контроля и принятия (при необходимости) соответствующих мер правление получает от службы внутреннего аудита информацию по результатам мониторинга исполнения структурными подразделениями Фонда или ДНПФ планов мероприятий по устранению нарушений и недостатков, выявленных по результатам внутреннего аудита, не реже одного раза в квартал по форме, установленной внутренними документами Фонда или ДНПФ.
25. Отчеты службы внутреннего аудита Фонда или ДНПФ представляются в уполномоченный орган по его запросу.
| Приложение 1 к Правилам формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов |
|
| форма |
Отчет по оценке выполнения требований к системе управления рисками
"________________________________________________________"
(наименование Фонда)
за "_____" год
№ | Указание соответствующего абзаца, подпункта, пункта Правил | Оценка соответствия требованию | Выявленные недостатки | Необходимые мероприятия по устранению недостатков, ответственные лица и сроки исполнения мероприятий | Ответственные исполнители |
1 | 2 | 3 | 4 | 5 | 6 |
Оценка соответствия требованиям к системе управления рисками: ______
Первый руководитель Фонда (либо лицо, его замещающее)
__________________________________________ ___________ ___________
(фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель подразделения Фонда, осуществляющего управление рисками
__________________________________________ ___________ ___________
(фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель службы внутреннего аудита Фонда
__________________________________________ ___________ ___________
(фамилия, имя, отчество (при его наличии) (подпись) (дата)
| Приложение к форме отчета по оценке выполнения требований к системе управления рисками |
Пояснения к заполнению форме отчета по оценке выполнения требований к системе управления рисками
1. Оценка соответствия требованиям к системе управления рисками осуществляется по трехбалльной системе следующих критериев: соответствует, частично соответствует, не соответствует.
2. Оценка "соответствует" выносится при выполнении Фондом критерия требования к системе управления рисками без каких-либо значительных недостатков.
3. Оценка "частично соответствует" выносится при обнаружении недостатков, которые не считаются достаточными для появления серьезных сомнений относительно способности Фонда в достижении соблюдения конкретного критерия требования к системе управления рисками.
4. Оценка "не соответствует" выносится при невыполнении Фондом критерия требований к системе управления рисками.
5. В случае, если отдельные требования к системе управления рисками не могут быть применены в отношении Фонда, оценка соответствия данному критерию требования не осуществляется и отмечается соответствующей записью "не применимо".
| Приложение 2 к Правилам формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов |
|
| форма |
Отчет по оценке выполнения требований к системе управления рисками
"________________________________________________________________"
(наименование ДНПФ)
за "_____" год
№ | Указание соответствующего абзаца, подпункта, пункта Правил | Оценка соответствия требованию | Выявленные недостатки | Необходимые мероприятия по устранению недостатков, ответственные лица и сроки исполнения мероприятий | Ответственные исполнители |
1. | подпункт 1) пункта 5 Правил | ||||
2. | подпункт 2) пункта 5 Правил | ||||
3. | подпункт 3) пункта 5 Правил | ||||
4. | подпункт 4) пункта 5 Правил | ||||
5. | подпункт 7) пункта 5 Правил |
Оценка соответствия требованиям к системе управления рисками: __________
Первый руководитель ДНПФ (либо лицо, его замещающее)
_________________________________________ ___________ ___________
(фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель подразделения ДНПФ, осуществляющего управление рисками
_________________________________________ ___________ ___________
(фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель службы внутреннего аудита ДНПФ
_________________________________________ ___________ ___________
(фамилия, имя, отчество (при его наличии) (подпись) (дата)
| Приложение к форме отчета по оценке выполнения требований к системе управления рисками |
Пояснения к заполнению отчета по оценке выполнения требований к системе управления рисками
1. Оценку соответствия требованиям к системе управления рисками осуществляется по трехбалльной системе следующих критериев: соответствует, частично соответствует, не соответствует.
2. Оценка "соответствует" выносится при выполнении ДНПФ критерия требования к системе управления рисками без каких-либо значительных недостатков.
3. Оценка "частично соответствует" выносится при обнаружении недостатков, которые не считаются достаточными для появления серьезных сомнений относительно способности ДНПФ в достижении соблюдения конкретного критерия требования к системе управления рисками.
4. Оценка "не соответствует" выносится при невыполнении ДНПФ критерия требований к системе управления рисками.
5. В случае, если отдельные требования к системам управления рисками не могут быть применены в отношении ДНПФ, оценка соответствия данному критерию требования не осуществляется и отмечается соответствующей записью "не применимо".
| Приложение 3 к Правилам формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов |
Требования к внутренним документам
1. Внутренние документы Фонда или ДНПФ включают:
1) положение об организационной структуре Фонда или ДНПФ;
2) порядок стратегического планирования на долгосрочный период и составления годового бюджета (финансового плана) на краткосрочный и среднесрочный периоды;
3) корпоративную стратегию Фонда или ДНПФ;
4) учетную политику Фонда или ДНПФ;
5) политику Фонда или ДНПФ по управлению рисками;
6) правила обеспечения информационной безопасности;
7) процедуры осуществления внутреннего аудита;
8) процедуры осуществления внутреннего контроля;
9) политику управления существующим и потенциальным конфликтом интересов;
10) порядок осуществления операционной (текущей) деятельности Фонда или ДНПФ и бухгалтерского учета;
11) инструкцию по охране труда;
12) иные документы, установленные советом директоров Фонда или ДНПФ.
2. Внутренние документы Фонда или ДНПФ, указанные в пункте 1 настоящих Требований, составляются в качестве отдельного документа либо включаются в состав других внутренних документов Фонда или ДНПФ и после согласования с подразделением Фонда или ДНПФ, осуществляющим управление рисками, утверждаются советом директоров Фонда или ДНПФ, за исключением внутренних документов, предусмотренных подпунктами 1), 11) и 12) пункта 1, которые утверждаются правлением Фонда или ДНПФ.
3. Положение об организационной структуре Фонда или ДНПФ определяет:
1) структуру органов, соответствующую их функциональным обязанностям;
2) описание порядка взаимодействия между органами, структурными подразделениями, филиалами, представительствами, работниками;
3) положения об органах (за исключением положений об органах, утверждение которых в соответствии с Законом Республики Казахстан от 13 мая 2003 года "Об акционерных обществах" (далее - Закон об акционерных обществах) и уставом Фонда или ДНПФ отнесено к компетенции совета директоров или общего собрания акционеров), структурных подразделениях, определяющие описание их функций, полномочий и обязанностей, а также формы и сроки представления отчетности по вопросам деятельности и информации общему собранию акционеров и совету директоров Фонда или ДНПФ. Перечень информации, представляемой общему собранию акционеров и совету директоров Фонда или ДНПФ, составляется с учетом необходимости предоставления органам Фонда или ДНПФ достаточного для надлежащего исполнения их функциональных обязанностей объема информации;
4) должностные инструкции работников;
5) недопущение возложения на работников подразделения, осуществляющего управление рисками, и службы внутреннего аудита функций других структурных подразделений Фонда или ДНПФ;
6) порядок оценки эффективности деятельности структурных подразделений и работников в течение отчетного периода, в том числе применение мер за невыполнение (некачественное или несвоевременное выполнение) возложенных на них функций и задач.
4. Порядок стратегического планирования на долгосрочный период и составления годового бюджета (финансового плана) на краткосрочный и среднесрочный периоды, а также корпоративная стратегия Фонда или ДНПФ составляются и пересматриваются с целью учета объективных макро- и микроэкономических факторов, влияющих на деятельность Фонда или ДНПФ. Корпоративная стратегия определяет краткосрочные (до года), среднесрочные (от года до трех лет) и долгосрочные (от трех лет и более) цели деятельности Фонда или ДНПФ, маркетинговые планы.
5. Учетная политика Фонда или ДНПФ составляется в соответствии с требованиями законодательства Республики Казахстан о пенсионном обеспечении, бухгалтерском учете и финансовой отчетности.
6. Политика Фонда или ДНПФ по управлению рисками определяет:
1) полномочия и функциональные обязанности по управлению рисками членов совета директоров, правления, подразделения, осуществляющего управления рисками и ответственных работников Фонда или ДНПФ;
2) квалификационные требования к руководящим работникам Фонда или ДНПФ, а также работникам подразделений, осуществляющих управление рисками, включая, но не ограничиваясь, требованиями по наличию высшего образования и стажа работы;
3) наличие в составе организационной структуры Фонда или ДНПФ отдельного структурного подразделения по управлению рисками, не участвующего в осуществлении иных видов деятельности Фонда или ДНПФ;
4) процедуры по идентификации, измерению, оценке, мониторингу и контролю рисков, с использованием международной практики в области управления рисками;
порядок измерения рисков, присущих операциям по учету пенсионных активов и накоплений;
5) два уровня контроля операций, перечень которых определяется внутренними документами Фонда или ДНПФ:
работник, выполняющий операцию - первый уровень, непосредственный руководитель, контролирующий работника, выполняющего операцию - второй уровень;
работник (руководитель) структурного подразделения, выполняющего операцию - первый уровень, работник (руководитель) иного структурного подразделения, контролирующего выполнение данной операции - второй уровень;
6) порядок осуществления операционной (текущей) деятельности Фонда или ДНПФ и бухгалтерского учета, определяющий:
структурные подразделения, обеспечивающие осуществление операционной (текущей) деятельности Фонда или ДНПФ, их функции, полномочия и обязанности;
технический порядок проведения операций;
систему бухгалтерского учета операций Фонда или ДНПФ;
систему документооборота и делопроизводства операций Фонда или ДНПФ;
процедуры по предотвращению рисков нарушения порядка осуществления операционной (текущей) деятельности операций Фонда или ДНПФ:
ограничивающие возможность неправильного проведения и недостоверного отражения в учете совершенных операций с финансовыми инструментами;
обеспечивающие разделение функций работников и установление ограниченного доступа работников для участия (управления) при осуществлении бухгалтерской записи в целях недопущения мошенничества и ошибок;
обеспечивающие безопасность проведения операций, а именно выявление и предотвращение случаев злоупотребления при осуществлении операций с доходами и принятии риска, неадекватного размеру собственного капитала и доходов;
обеспечивающие бесперебойное функционирование системы электронной обработки и наличие у лиц, осуществляющих контроль системы электронной обработки данных и отвечающих за вопросы обработки данных, квалификации и опыта, соответствующих профилю работы;
направленные на предотвращение несанкционированного доступа в компьютерную и телекоммуникационную системы и предполагающие наличие у подразделения информационного обеспечения системы проверки уровня допуска при входе и выходе из автоматизированной системы и устанавливающие ответственность подразделения информационного обеспечения по контролю важных ключей, в том числе электронных ключей к информационным базам данных;
направленные на выполнение плановых мероприятий, в том числе при форс-мажорных обстоятельствах по обеспечению сохранности информационных систем баз данных, предусматривающих:
наличие обособленных помещений для технических комплексов информационных баз данных, отвечающих требованиям пожарной безопасности и сейсмоустойчивости, автономного электропитания, резервных компьютеров и сетевых коммуникаций, регулярного формирования резервных копий системно-важных программных файлов и файлов данных;
делегирование полномочий и ответственности в случае возникновения форс-мажорных обстоятельств;
определение действий при наступлении форс-мажорных обстоятельств, предусматривающих правила и руководства для компьютерного центра в случае чрезвычайного сбоя в работе системы;
предотвращение сбоев с помощью регулярных инспекций оборудования и проверки отчетов о работе подразделением информационного обеспечения;
установление порядка планирования, разработки и функционирования систем электронной обработки данных.
7. Правила обеспечения информационной безопасности включают процедуры по обеспечению сохранности сведений, составляющих коммерческую тайну на рынке ценных бумаг, тайну пенсионных накоплений, и недопущению их использования в собственных интересах Фонда или ДНПФ, их работников или третьих лиц.
Правила обеспечения информационной безопасности определяют:
перечень информации, относящейся к коммерческой и (или) иной охраняемой законами Республики Казахстан тайне (далее – конфиденциальная информация);
порядок составления, оформления, регистрации, учета и хранения документов, содержащих конфиденциальную информацию;
порядок допуска к конфиденциальной информации, с указанием должностей лиц, которые допускаются к данной информации;
механизмы предотвращения утечки конфиденциальной информации и искажении информационных данных, предусматривающие:
перечень информационных данных, имеющих ограниченный доступ;
порядок получения доступа;
порядок контроля доступа к информационным данным, перечня должностей лиц, имеющих доступ к информационным данным;
мероприятия по предотвращению несанкционированного доступа к базе данных посредством осуществления подразделением информационного обеспечения мониторинга и идентификации пользователей базы данных и обеспечения системой, позволяющей идентифицировать пользователя информационной системы.
8. Процедуры осуществления внутреннего аудита определяют:
1) состав службы внутреннего аудита, ее функции, полномочия и обязанности;
2) требования к работникам, осуществляющим внутренний аудит;
3) предмет и объект внутреннего аудита;
4) масштаб и частоту проведения проверок службой внутреннего аудита;
5) обязательную к использованию при проведении внутреннего аудита систему оценки;
6) требования к составлению плана проведения внутреннего аудита;
7) сроки и форму представления службой внутреннего аудита отчетов о результатах проверок совету директоров и правлению Фонда или ДНПФ.
9. Процедуры осуществления внутреннего контроля определяют:
1) требования к работникам, осуществляющим внутренний контроль;
2) предмет и объект внутреннего контроля.
10. Политика управления существующим и потенциальным конфликтом интересов включает:
1) определение ситуаций, при которых интересы должностного лица или работника Фонда или ДНПФ могут повлиять на объективность и независимость принятия ими решений и исполнения обязанностей, а также вступить в противоречие с их обязательством действовать в интересах вкладчиков (получателей пенсионных выплат) Фонда или ДНПФ и (или) акционеров Фонда или ДНПФ;
2) принципы деятельности должностных лиц и работников Фонда или ДНПФ при возникновении ситуаций, указанных в подпункте 1) настоящего пункта;
3) порядок осуществления сбора, хранения и мониторинга сведений в целях выявления и описания ситуаций, указанных в подпункте 1) настоящего пункта, в процессе деятельности органов, структурных подразделений, должностных лиц и работников Фонда или ДНПФ;
4) процедуры принятия решений органами Фонда или ДНПФ, направленные на обеспечение независимости и объективности принимаемых решений, включая ограничение права участия в принятии решений должностных лиц и работников Фонда или ДНПФ, при возникновении ситуаций, указанных в подпункте 1) настоящего пункта.
11. Инструкция по охране труда включает:
1) основные требования по пожарной безопасности;
2) описание действий работников Фонда или ДНПФ в случае наступления форс-мажорных обстоятельств;
3) порядок использования программно-технических комплексов и иного оборудования работниками Фонда или ДНПФ;
4) последовательность осмотра помещений Фонда или ДНПФ перед их закрытием.
12. Внутренние документы ДНПФ включают пенсионные правила, разработанные в соответствии со статьей 44 Закона о пенсионном обеспечении.
| Приложение 4 к Правилам формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов |
Требования к организации системы информационного обмена
1. Совет директоров Фонда или ДНПФ в целях эффективного выполнения возложенных обязанностей осуществляет мониторинг и контроль за вопросами управления рисками, аудита посредством анализа:
1) информации о соблюдении (использовании) требований системы управления рисками, полученной от структурного подразделения Фонда или ДНПФ, осуществляющего управление рисками, - на ежеквартальной основе по форме, установленной внутренними документами Фонда или ДНПФ;
2) отчетов о результатах операционной (текущей) деятельности Фонда или ДНПФ в сравнении с тем же периодом за прошлый отчетный период и с запланированными показателями деятельности, полученных от структурного подразделения Фонда или ДНПФ, осуществляющего анализ и планирование бюджета, - на ежеквартальной основе;
3) отчетов по результатам проверок, содержащих выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ, полученных от службы внутреннего аудита Фонда или ДНПФ - по мере подготовки отчетов;
4) отчетов о результатах осуществления контроля за выполнением рекомендаций службы внутреннего аудита по улучшению деятельности Фонда или ДНПФ, полученных от правления Фонда или ДНПФ, - на ежеквартальной основе.
Информация, представляемая совету директоров, включается в повестку заседания совета директоров или направляется членам совета директоров сопроводительным письмом, заверенным подписью первого руководителя Фонда или ДНПФ, либо лицом, его замещающим, и печатью Фонда или ДНПФ (при наличии).
2. Правление Фонда или ДНПФ для осуществления своих функций анализирует:
1) отчеты о результатах деятельности Фонда или ДНПФ в сравнении с тем же периодом за прошлый отчетный период и с запланированными показателями деятельности, полученные от структурного подразделения Фонда или ДНПФ, осуществляющего анализ и планирование бюджета - на ежеквартальной основе;
2) отчеты о доходах (расходах) Фонда или ДНПФ с приложением плановых показателей операционной (текущей) деятельности (включая динамику по видам деятельности) структурных подразделений, филиалов, представительств, полученные от структурного подразделения Фонда или ДНПФ, контролирующего доходы (расходы) Фонда или ДНПФ - на ежемесячной основе;
3) отчеты по результатам проверок, содержащие выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ, полученные от службы внутреннего аудита Фонда или ДНПФ - по мере подготовки отчетов;
4) информацию, полученную от структурного подразделения информационного обеспечения Фонда или ДНПФ о:
состоянии аппаратно-программных технических комплексов;
технических проблемах, обнаруженных в течение отчетного периода;
выявленных несоответствиях внутренним процедурам Фонда или ДНПФ;
мерах, принятых для устранения и предотвращения повторного возникновения проблем и несоответствий - раз в квартал;
5) информацию о нарушении структурными подразделениями либо работниками требований законодательства Республики Казахстан о пенсионном обеспечении и рынке ценных бумаг, а также внутренних документов Фонда или ДНПФ, а также отчеты о самостоятельном выявлении нарушений и принятых мерах по устранению выявленных нарушений от всех структурных подразделений Фонда или ДНПФ - по мере возникновения информации.
3. Служба внутреннего аудита Фонда или ДНПФ получает любые документы и информацию, необходимые для осуществления своих функций от всех структурных подразделений, филиалов, представительств и работников Фонда или ДНПФ, в сроки, указанные в запросах службы внутреннего аудита.
4. Структурное подразделение Фонда или ДНПФ, осуществляющее управление рисками, для осуществления своих функций получает документы и информацию, необходимые для осуществления своих функций, от всех структурных подразделений и работников Фонда или ДНПФ в сроки, указанные в запросах подразделения, осуществляющего управление рисками.
5. Информационный обмен между структурными подразделениями Фонда или ДНПФ осуществляется в соответствии с внутренними документами Фонда или ДНПФ.
| Приложение 5 к Правилам формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов |
Требования к программно-техническому обеспечению, используемому для поддержания системы управления рисками
1. Автоматизации подлежат следующие виды операционной деятельности Фонда или ДНПФ:
1) сбор информации, необходимой для функционирования системы управления рисками;
2) учет пенсионных активов и накоплений.
2. Подразделение информационного обеспечения Фонда или ДНПФ ведет учет фактических системных проблем и применяет незамедлительные меры по разработке мер безопасности с целью предотвращения повторного возникновения проблем, посредством проведения следующих мероприятий:
1) заполнение листов учета технических проблем и ведения по ним отчетности;
2) отслеживание причин возникновения проблемы, извещение о них изготовителя информационной системы и принятие коррективных мер для предотвращения их повторного возникновения;
3) проведение не менее, чем раз в квартал, проверок технических комплексов, обеспечивающих функционирование автоматизированной базы данных;
4) осуществление мониторинга и идентификации пользователей терминалов управления автоматизированной базой данных, в том числе контроля видов и объема проведенных ими операций на предмет их соответствия функциональным обязанностям пользователя.